概要

ベトナムのサイバーセキュリティ団体 GTSC は2022年09月28日、ブログ記事 を公表し、Microsoft Exchange Server 製品に存在するゼロデイ脆弱性が攻撃キャンペーンに悪用されていると主張しました。マイクロソフト社も2022年09月29日にゼロデイ脆弱性に関するガイダンス を公表し、報告された脆弱性の調査を行なっていることを明らかにしました。

マイクロソフト社によって公表された Microsoft Exchange Server 製品の脆弱性は 2 件に分かれています。 CVE-2022-41082 (任意のコードを実行される問題) は、PowerShell へアクセスできる認証されたリモートの攻撃者によってサーバアカウントのコンテキストで任意のコードを実行される可能性があるとされています。 CVE-2022-41040 (サーバサイドリクエストフォージェリの問題) は、認証されたリモートの攻撃者によってサーバサイドリクエストフォージェリによる攻撃を受けシステムのコンテキストで PowerShell を実行する権限を取得される可能性のある問題です。これらの脆弱性を組み合わせて悪用された場合、認証されたリモートの攻撃者によって任意のコードを実行される可能性があります。悪用には認証が必要であるものの、標準ユーザの権限で悪用が可能です。

2022年10月12日現在、修正プログラムは提供されていません。マイクロソフト社は回避方法の適用を強く推奨しています。 2022年11月09日に修正プログラムが提供されました。修正プログラムの適用が強く推奨されています。 (2022年11月09日 更新)

既にこれらの脆弱性を悪用する攻撃が確認されており、CISA の悪用された脆弱性カタログ (KEV カタログ) に追加されています。 　(CISAの「既知の悪用された脆弱性カタログ」とは)

以下は、継続的脆弱性管理ツール SIDfm VM での当該脆弱性情報の画面を表示したものです。

影響を受ける環境

これらの脆弱性 (CVE-2022-41040, CVE-2022-41082) の影響を受けるのは以下の製品です。

• Microsoft Exchange Server 2019 Cumulative Update 12
• Microsoft Exchange Server 2019 Cumulative Update 11
• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2016 Cumulative Update 22
• Microsoft Exchange Server 2013 Cumulative Update 23

※ Microsoft Exchange Online のカスタマーは、特にアクションは必要ないとされています。

対策

修正プログラム

2022年10月12日現在、修正プログラムは提供されていません。回避方法を適用してください。 2022年11月09日、修正プログラムが提供されました。修正プログラムの適用が強く推奨されています。

• CVE-2022-41040 : KB5019758 で修正
• CVE-2022-41082 : KB5019758 で修正

(2022年11月09日 更新)

回避方法

URL リライトを使用して既知の攻撃パターンをブロックする回避方法が提供されています。次のいずれかの回避方法を適用してください。 修正プログラムの提供により回避方法の適用は非推奨となっています。 (2022年11月09日 更新)

• Exchange Emergency Mitigation Service (EEMS) を有効にしている環境では、Microsoft Exchange Server 2016 および 2019 を対象とした URL リライトによる回避が利用可能です。詳細は「New security feature in September 2021 Cumulative Update for Exchange Server 」を参照してください。
• URL リライトを適用するスクリプトを実行してください。詳しくは「Exchange On-premises Mitigation Tool v2 (EOMTv2) 」を参照してください。
• IIS Manager の設定を変更し、既知の悪意のあるリクエストを遮断してください。詳細については「Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server 」の Mitigations を参照してください。

確認されている悪用事例

Microsoft Threat Intelligence Center (MSTIC) は、2022年08月に単一の攻撃グループが関与する少数の組織を標的とした攻撃を観測しています。攻撃では CVE-2022-41040 および CVE-2022-41082 が組み合わせて悪用されており、脆弱性の悪用に成功すると、Exchange Server を不正に操作するための WebShell を配置されていました。MSTIC は、中程度の確信で、この単一の攻撃グループが国家による支援を受けている可能性が高いと評価しています。GTSC は配置された WebShell の特徴から中国の関与を疑っています。

更新履歴

• 2022年10月12日

  • 新規公開

• 2022年11月09日

  • マイクロソフト社による修正プログラムの提供に伴い「タイトル」、「概要」、「修正プログラム」、および「回避方法」を更新しました。

参照

1. "Microsoft Exchange Server のリモートでコードが実行される脆弱性 | CVE-2022-41082," Microsoft Security Update Guide, Sep 30, 2022.
2. "Microsoft Exchange Server の特権の昇格の脆弱性 | CVE-2022-41040," Microsoft Security Update Guide, Sep 30, 2022.
3. msrc, "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server," Microsoft Security Response Center, Sep 29, 2022.
4. Microsoft Security Threat Intelligence, "Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082," Microsoft Security Blog, Sep 30, 2022.
5. "Microsoft Releases Guidance on Zero-Day Vulnerabilities in Microsoft Exchange Server," Cybersecurity and Infrastructure Security Agency, Sep 30, 2022.
6. GTSC TEAM, "WARNING: NEW ATTACK CAMPAIGN UTILIZED A NEW 0-DAY RCE VULNERABILITY ON MICROSOFT EXCHANGE SERVER," , Sep 29, 2022.