米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月30日(米国時間)、「Microsoft Releases Guidance on Zero-Day Vulnerabilities in Microsoft Exchange Server|CISA」において、Microsoft Exchange Serverに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。

脆弱性に関する情報は次のページにまとまっている。

  • Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center

    Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center

MicrosoftはMicrosoft Exchange Serverの脆弱性「CVE-2022-41040」および「CVE-2022-41082」がサイバー攻撃に悪用されており、この2つの脆弱性を悪用することでシステムに侵入するという限定的な標的型攻撃を確認していると説明している。影響を受けるとされるプロダクトはオンプレミスで提供されている次のプロダクト。

  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2013

Microsoft Exchange Onlineはこの脆弱性の影響を受けないとされている。

CISAは、上記のセキュリティ情報をチェックするとともに、アップデートが提供されるまでは必要な軽減策を適用することを推奨している。