Microsoft Exchange

Microsoft は、ProxyNotShell として総称され、実際に悪用されている 2 つの重大な Microsoft Exchange のゼロデイ脆弱性に対処するためのセキュリティ更新プログラムをリリースしました。

少なくとも 2022 年 9 月以降、攻撃者は 2 つのセキュリティ上の欠陥を連鎖させて、侵害されたサーバーに中国の Chopper Web シェルを展開し、永続化とデータの盗難、および被害者のネットワークでのラテラルムーブメントを行ってきました。

Microsoft は、9 月 30 日の攻撃で積極的に悪用されたことを認め、「2 つの脆弱性を利用してユーザーのシステムに侵入する限定的な標的型攻撃を認識している」と述べました。

「マイクロソフトはまた、これらの悪意のあるアクティビティに対して既に展開されている検出を監視しており、顧客を保護するために必要な対応措置を講じます。修正プログラムをリリースするためにタイムラインを加速するよう取り組んでいます」と同社は付け加えました。

同社はその後、防御側が ProxyNotShell 攻撃をブロックできるようにする緩和策をリリースしましたが、研究者が攻撃者がまだそれらをバイパスできることを示した後、ガイダンスを 2 回更新する必要がありました。

パッチを適用するよう警告

本日、2022 年 11 月の月例パッチの一環として、Microsoft はついに 2 つの脆弱性に対処するためのセキュリティ更新プログラムをリリースしました。

「関連する脆弱性の悪用(限定的な標的型攻撃)が活発に行われていることを認識しているため、これらの攻撃から保護するために、これらの更新プログラムをすぐにインストールすることをお勧めします」と Exchange チームは警告しています。

「これらの脆弱性は、Exchange Server に影響を与えます。Exchange Online のお客様は、これらの SU で対処された脆弱性から既に保護されており、環境内の Exchange サーバーを更新する以外の措置を講じる必要はありません。」

CVE-2022-41082およびCVE- 2022-41040 として追跡されている 2 つのセキュリティ バグは、Microsoft Exchange Server 2013、2016、および 2019 に影響します。

攻撃者は権限をエスカレートして、システムのコンテキストで PowerShell を実行し、任意またはリモートでコードを実行できます。

Microsoft は CVE-2022-41082 アドバイザリで、「この脆弱性の攻撃者は、サーバー アカウントを標的にして、任意またはリモートでコードを実行する可能性があります。

「認証されたユーザーとして、攻撃者はネットワーク呼び出しを通じてサーバーのアカウントのコンテキストで悪意のあるコードをトリガーしようとする可能性があります。」