Bleeping Computerは10月3日(米国時間)、「Microsoft Exchange server zero-day mitigation can be bypassed」において、Microsoft Exchange Serverに存在する2つのゼロディ脆弱性に対するMicrosoftの緩和策が十分ではないと警告した。これらの脆弱性が攻撃者によってMicrosoft Exchange Serverへの侵入に使われ、リモートコードを実行するために積極的に悪用されていると伝えている。
2つの脆弱性は「CVE-2022-41040」および「CVE-2022-41082」として追跡されており、ベトナムのサイバーセキュリティベンダであるGTSCによってZero Day Initiative(ZDI)プログラムを通じて報告され、公開されている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)も、これら脆弱性に対して注意するよう警告を発している(参考「Microsoft Exchange Serverに不正侵入許す脆弱性、修正がくるまで緩和策を | TECH+(テックプラス)」)。
Microsoftはこの問題を認識しており、セキュリティアドバイザリの一環としてオンプレミスのサーバに対する緩和策を共有し、組織内の管理者以外のユーザーのリモートPowerShellアクセスを無効にするよう強く推奨されている。また、悪用されるリスクを減らすためにIISマネージャのルールを通じて、既知の攻撃パターンをブロックすることが提案されている。
しかしながら、セキュリティ研究者のJang氏の調査により、CVE-2022-41040およびCVE-2022-41082の悪用を防ぐためのMicrosoftの一時的な緩和策が回避できることが明らかとなった。Jang氏の調査結果はGTSCのセキュリティ研究者によって検証されており、Microsoftの緩和策では十分な保護が提供されないことが確認されている。なお、検証結果はYouTubeで動画が公開されている。
Bleeping Computerは、世界各地の1,200以上の組織がこの問題を抱えているMicrosoft Exchange ServerをWeb上に公開しているが、中には金融、教育、政府機関も含まれており、スパイ活動や恐喝を行うサイバー犯罪者にとって魅力的なターゲットとなっていると警告している。