CISAは、CVE-2025-53786として追跡されているマイクロソフト・エクスチェンジ・ハイブリッドの重大な脆弱性を月曜日の午前9時(米国東部時間)までに緩和するよう、すべての連邦民間行政府(FCEB)機関に命じる緊急指令を発表した。
連邦民間行政府(FCEB)機関とは、国土安全保障省、財務省、エネルギー省、保健福祉省を含む米国行政府内の非軍事機関である。
CVE-2025-53786として追跡されているこの欠陥により、オンプレミスのExchangeサーバーに管理者アクセス権を得た攻撃者がマイクロソフトのクラウド環境に横移動し、ドメインの完全な侵害につながる可能性がある。
この脆弱性は、Microsoft Exchange Server 2016、2019、およびSubscription Editionに影響します。
ハイブリッド構成では、Exchange Onlineとオンプレミスのサーバーは同じサービスプリンシパルを共有します。
オンプレミスの Exchange サーバーの管理者権限を持つ攻撃者は、クラウド側が正当なものとして受け入れる信頼されたトークンや API 呼び出しを偽造または操作できる可能性があります。この手法によって、攻撃者はローカルネットワークから企業のクラウド環境へと横方向に拡散し、企業のアクティブディレクトリやインフラ全体を危険にさらす可能性がある。
さらに悪いことに、マイクロソフトによると、Microsoft Purviewのようなクラウドベースのロギングツールは、悪意のあるアクティビティがオンプレミスのExchangeから発信された場合、それをログに残さない可能性があり、悪用を検知するのが難しくなるという。
この欠陥は、マイクロソフトがセキュア・フューチャー・イニシアチブの一環として、共有アプリケーションではなく専用のハイブリッド・アプリケーションを使用する新しいアーキテクチャをサポートするためのガイダンスと ExchangeサーバーのHotfixを2025年4月にリリースした後に発生した。
昨日、Outsider Security社のセキュリティ研究者Dirk-Jan Mollema氏は、Black Hatのプレゼンテーションの中で、この共有サービスプリンシパルがどのようにポストエクスプロイト攻撃で悪用されるかを実演した。
この研究者は、マイクロソフト社に事前に警告を与えるため、講演の3週間前にこの欠陥を報告したと語った。マイクロソフト社は、このプレゼンテーションと連携して、CVE-2025-53786のCVEとその緩和方法に関するガイダンスを発表した。
「このような攻撃に使われるプロトコルは、講演で取り上げられた機能で設計されており、一般的に重要なセキュリティ対策が欠けているため、私はもともとこれを脆弱性とは考えていませんでした」とモレマ氏は語った。
「攻撃者の可能性を記述したレポートは、Black Hatの3週間前にMSRCに警告として送られ、公開は彼らと調整された。このガイダンスとは別に、マイクロソフトはオンプレミスのExchangeからテナント全体(グローバル管理者)の侵害につながる攻撃経路を緩和した。
朗報としては、Microsoft Exchangeの顧客で、Hotfixと4月のガイダンスを実施済みの顧客は、この新しい攻撃からすでに保護されているということです。
ただし、Hotfixと4月のガイダンスを適用していない場合は、影響を受ける可能性があるため、Hotfixをインストールし、Exchangeハイブリッド専用アプリの導入に関するマイクロソフト社の説明(doc 1およびdoc 2)に従ってください。
「この場合、Hotfixの適用だけでは不十分で、専用のサービスプリンシパルに移行するための手動によるフォローアップが必要です」と、モレマ氏は説明します。
「セキュリティの観点からの緊急度は、管理者がオンプレミスのExchangeリソースとクラウドホストのリソースの分離をどの程度重要視しているかによって決まります。従来の設定では、ExchangeハイブリッドはExchangeオンラインとSharePointのすべてのリソースにフルアクセスできる。
つまり、攻撃者はすでにオンプレミス環境またはExchangeサーバーに侵入しており、この場合は管理者権限を持っている必要がある。
CISAの緊急指令25-02によると、連邦政府機関は現在、まずマイクロソフトのHealth Checkerスクリプトを使用してExchange環境のインベントリを取得することで、この攻撃を緩和しなければならない。2025年4月のHotfixでサポートされなくなったサーバー(Exchangeのサポートが終了したバージョンなど)は、すべて切り離す必要がある。
残りのすべてのサーバーを最新の累積的更新プログラム(Exchange 2019の場合はCU14またはCU15、Exchange 2016の場合はCU23)に更新し、4月のHotfixでパッチを適用する必要があります。その後、管理者はMicrosoftのConfigureExchangeHybridApplication.ps1PowerShellスクリプトを実行して、Entra IDの共有サービスプリンシパルから専用サービスプリンシパルに切り替える必要がある。
CISAは、これらの緩和策を実施しないと、ハイブリッド環境が完全に侵害される可能性があると警告している。
機関は、月曜日の朝までに技術的な修復手順を完了し、同日午後 5 時までに CISA に報告書を提出しなければならない。
政府機関以外の組織は、この指令に基づく措置を講じる必要はないが、CISAはすべての組織に対し、この攻撃を緩和するよう促している。
「このマイクロソフト・エクスチェンジの脆弱性に関連するリスクは、この環境を使用しているすべての組織と部門に及んでいる」とCISAのマドゥ・ゴットゥムッカラ所長代理は述べた。
「連邦政府機関には義務付けられていますが、私たちはすべての組織がこの緊急指令の行動を採用するよう強く求めます」。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2025マルウェアの93%が使用するトップATT&CKテクニックの分析
攻撃者がステルス的なパーフェクト・ハイスト・シナリオを実行し、重要なシステムに侵入して悪用したため、パスワード・ストアを標的にしたマルウェアが3倍に急増。
攻撃の93%を支えるMITREのATT&CK手法のトップ10とその防御方法をご覧ください。
Comments