Microsoft Says Exchange ‘Zero Days’ Disclosed by ZDI Already Patched or Not Urgent
2023/11/06 SecurityWeek — 先週に Trend Micro の Zero Day Initiative (ZDI) が公開した、Exchange の脆弱性4件について Microsoft は、すでにパッチが適用されてものがあり、早急な対応が不要なものもあるとしている。Exchange の深刻な4件の脆弱性について、Microsoft から直ちに対応する必要はないとの連絡を受けた ZDI の Piotr Bazydlo は、その存在を公表した。ZDIによると、これらの脆弱性は、9月上旬の時点で Microsoft に報告されているという。
ZDI のアドバイザリはゼロデイ・ステータスで公表されているが、これらの脆弱性が実際に悪用された形跡はない。また、近い将来に悪用される可能性を高めるような、技術情報や Po Cコードも公開されていないため、実際のゼロデイではない。さらに、それらの脆弱性を悪用するには認証が必要であるため、攻撃に利用される可能性はさらに低くなる。
ZDI によると、ZDI-23-1578 として追跡されている脆弱性は (CVE識別子は割り当てられていない) は、リモート・コード実行を可能にするデータ・デシリアライゼーションの問題であるという。
ZDI のアドバイザリには、「この欠陥は ChainedSerializationBinder クラスに存在する。ユーザーから提供されたデータに対する不適切な検証に起因しており、信頼できないデータがデシリアライズされる可能性がある。この脆弱性の悪用に成功した攻撃者は、SYSTEM のコンテキストでコードを実行することができる」と記されている。
Microsoft は SecurityWeek に対し、この脆弱性は実際にパッチが適用されていると述べた。8月のセキュリティ更新プログラムを適用している顧客は、すでに保護されているという。
残りの問題は、情報漏洩につながる可能性のあるサーバーサイド・リクエスト・フォージェリ (SSRF) の欠陥と説明されている。
これらのセキュリティホールに対する Microsoft の指摘は、悪用には電子メール認証情報への事前のアクセスが必要であるというものだ。また、2つの欠陥については、特権昇格や機密情報へのアクセスに悪用できるという証拠は、提示されていないとしている。
Microsoft の広報担当者は、「協調的な情報開示の下に、これらの脆弱性を提出してくれた発見者に感謝し、顧客を保護するために必要な措置を講じることを約束する。ただし、これらの報告書を確認したところ、すでに対処済みのものと、当社の深刻度分類ガイドラインの基準に達していなもので構成されていると判断された」とSecurityWeek に述べている。
ZDI のアドバイザリには、「脆弱性の性質を考慮すると、唯一の有効な緩和策は、アプリケーションとのやりとりを制限することである」と記されている。
この件については、2023/11/03 の「Exchange にゼロデイ4件:軽視する Microsoft と重視する Trend Micro」が第一報となります。依然として、双方の見立てに食い違いがあるようですが、どのように着地するのでしょうか?よろしければ、Trend Micro で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.