CISA KEB 警告 23/01/10:Microsoft Exchange の脆弱性 CVE-2022-41080 などを追加

CISA orders agencies to patch Exchange bug abused by ransomware gang

2023/01/10 BleepingComputer — 今日に、米国の CISA (Cybersecurity and Infrastructure Security Agency)  は、Known Exploited Vulnerabilities (KEV) カタログに、2つのセキュリティ脆弱性を追加した。1つ目は、Microsoft Exchange の権限昇格の脆弱性 CVE-2022-41080 であり、別の脆弱性 ProxyNotShell CVE-2022-41082 と連鎖してリモート・コードが実行される可能性がある。先週に、テキサス州に拠点を置くクラウド・コンピューティング・プロバイダーである Rackspace は、Play ランサムウェアが CVE-2022-41082 をゼロデイとして悪用し、Microsoft の ProxyNotShell URL 書き換え緩和策をバイパスして、感染させた Exchange Server 内で権限昇格を行ったことが確認されている。

CrowdStrike のセキュリティ研究者たちが OWASSRF と命名した、今回の攻撃で使用されたエクスプロイトおよび、Play ランサムウェアが保有する悪意のツールなどが、オンラインで共有されている。

したがって、他のサイバー犯罪者による、独自のカスタム・エクスプロイトの作成や、Play ランサムウェア・ツールのブラッシュアップが容易になると見られており、一刻も早い脆弱性への対応が必要になってきている。

オンプレミスの Microsoft Exchange Server を使用している場合は、最新の Exchange セキュリティ更新プログラムを直ちに導入 (2022年11月が最小パッチレベル) するのがベストである。また、CVE-2022-41080 パッチを適用できるまで、Outlook Web Access (OWA) を無効化することが、最低でも推奨される。

CISA が KEV カタログに追加した2つ目の脆弱性は、Windows Advanced Local Procedure Call (ALPC) における権限昇格のゼロデイ CVE-2023-21674 だ。この脆弱性は、攻撃に悪用されているとされており、今月の Microsoft January 2023 Patch Tuesday でパッチが適用された。

連邦政府機関は1月末までにパッチ適用を義務付けられている

CISA が 2021年11月に発行した BOD 22-01 は、全ての連邦民間行政機関 (FCEB) 機関に対して、KEV カタログに追加されたバグに対するネットワークの安全確保を義務付けている。

今日に CISA は FCEB 機関に対して、1月31日までの3週間で、2つのセキュリティ脆弱性に対処し、システムを標的とした潜在的な攻撃を阻止するよう命じた。

この指令は米国連邦政府機関のみに適用されるが、CISA は全ての組織に対しても、悪用の試みを阻止するために、これらの脆弱性の修正を強く求めている。

CISA は、「この種の脆弱性は、悪意のサイバー行為者が頻繁に用いる攻撃経路であり、連邦政府機関に重大なリスクをもたらす」と警告している。

CISA は、BOD 22-01 の発行以来、800件以上のセキュリティ脆弱性を KEV カタログに追加しており、連邦政府機関に対して、潜在的なセキュリティ侵害を防ぐために、よりタイトなスケジュールで対処するよう要求している。

文中にある Rackspace のインシデントに関しては、2023年1月5日の「Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?」をご参照ください。この記事における Rackspace の主張と、今回の記事に記された Outlook Web Access (OWA) の無効化の関係が、よく分かりません。よろしければ、ProxyNotShell で検索も、ご利用ください。なお、CISA からは、最新バージョンの BOD 23-01 も出ています。

%d bloggers like this: