独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月4日、Microsoft Exchange Serverにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Microsoftから、Microsoft Exchange Serverについて、下記の脆弱性に対する情報が公開されている。
Autodiscoverサービスを利用したサーバサイドリクエストフォージェリの脆弱性(CVE-2022-41040)
PowerShellにアクセス可能な第三者が、リモートでコードが実行可能な脆弱性(CVE-2022-41082)
想定される影響としては、Microsoft Exchange Serverの認証情報を持つ第三者に権限を昇格され任意のコードを実行される可能性がある。なお、同脆弱性を悪用した限定的な標的型攻撃が既に確認されている。
JVNでは、開発者が提供する情報をもとに、ワークアラウンドを実施するよう呼びかけている。
