ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

オンプレ Microsoft Exchange Server ゼロデイ脆弱性 CVE-2022-41040 CVE-2022-41082 リモート コード実行のおそれ

Microsoft Exchange Server ゼロデイ脆弱性が新たに発見されました。

 

こちらは、「サーバサイドリクエストフォージェリ(SSRF)」の脆弱性「CVE-2022-41040」や、「PowerShell」にアクセスできる場合にリモートよりコードの実行が可能となる脆弱性「CVE-2022-41082」が明らかとなったもので、「CVE-2022-41040」を用いることで「CVE-2022-41082」による攻撃が可能になるそうです。ただし、悪用には認証済みのアクセスが必要とので、「CVSSv3.1」のベーススコアは8.8となっています。

 

公式の情報がこちら

Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center

 

機械翻訳しています

===

概要
マイクロソフトは、Microsoft Exchange Server 2013、Exchange Server 2016、および Exchange Server 2019 に影響を与える報告された 2 つのゼロデイ脆弱性を調査しています。最初の脆弱性はCVE-2022-41040として識別され、サーバー側のリクエスト フォージェリ (SSRF) の脆弱性であり、 2 つ目は、CVE-2022-41082として識別され、攻撃者が PowerShell にアクセスできる場合にリモート コード実行 (RCE) を許可します。  

 

現在、マイクロソフトは、これら 2 つの脆弱性を利用した限定的な標的型攻撃を認識しています。これらの攻撃では、CVE-2022-41040により、認証された攻撃者がリモートでCVE-2022-41082をトリガーできるようになります。いずれかの脆弱性を悪用するには、脆弱な Exchange Server への認証済みアクセスが必要であることに注意してください。

 

修正プログラムをリリースするためのタイムラインを加速する作業を行っています。それまでは、お客様がこれらの攻撃から身を守るのに役立つ軽減策と以下の検出ガイダンスを提供します。 

 

Microsoft Exchange Online には、顧客を保護するための検出と軽減策があります。いつものように、Microsoft は悪意のあるアクティビティのこれらの検出を監視しており、お客様を保護するために必要に応じて対応します。

 

Microsoft セキュリティ脅威インテリジェンス チームは、新しいMicrosoft セキュリティ ブログで、監視されたアクティビティの詳細な分析と緩和および検出のガイダンスを提供しています。

また、お客様に情報を提供し続けるために、ここで最新情報を提供し続けます。 

===

 

 

続いて、緩和策です。

 

===

Exchange Online のお客様は、何もする必要はありません。

現在の Exchange Server の緩和策は、「IIS マネージャー -> 既定の Web サイト -> URL 書き換え -> アクション」にブロック ルールを追加して、既知の攻撃パターンをブロックすることです。Exchange Server のお客様は、次の 3 つの緩和策のいずれかを確認して選択する必要があります。

オプション 1: Exchange Emergency Mitigation Service (EEMS) が有効になっているお客様の場合、MicrosoftExchange Server 2016 および Exchange Server 2019 の URL 書き換え軽減策をリリースしました。軽減策は自動的に有効になります。このサービスの詳細と、アクティブな軽減策を確認する方法については、このブログ投稿を参照してください。

オプション 2: Microsoft は、URL 書き換えの緩和手順用に次のスクリプトを作成しました。https://aka.ms/EOMTv2 

オプション 3: お客様は以下の手順に従うことができます。これらの手順は現在公開されており、現在の攻撃チェーンを断ち切ることに成功しています。 

1. IIS マネージャーを開きます。 
2. [既定の Web サイト] を選択します。
3. 機能ビューで、[URL 書き換え] をクリックします。

4. 右側の [アクション] ペインで、[ルールの追加…] をクリックします。  


5. [リクエストのブロック] を選択し、[OK] をクリックします。 


6. 文字列「.*autodiscover\.json.*\@.*Powershell.* 」を追加します(引用符は除く)。
7. [使用] で [正規表現] を選択します。8. [ブロック方法
] で [リクエストの中止] を選択し、[OK] をクリックします。


9. ルールを展開し、パターン.*autodiscover\.json.*\@.*Powershell.*のルールを選択して、 [条件] の下の [編集] をクリックします。 


10.条件の 入力を {URL} から {REQUEST_URI} に変更します。


注: ルールを変更する必要がある場合は、削除して再作成することをお勧めします。

影響: URL 書き換えが推奨どおりにインストールされている場合、Exchange の機能に既知の影響はありません。 

===

 

対象はオンプレミスで稼働しているExchangeサーバになります。

 

Anker PowerCore 10000 (10000mAh 大容量 モバイルバッテリー)【PSE技術基準適合/PowerIQ搭載】 iPhone&Android対応 (ブラック)