サイバーセキュリティ研究者は、Microsoft の Exchange 電子メール サーバーで表面化し、すでに悪意のある攻撃者によって悪用されている新たなゼロデイ脆弱性を発見しました。
この脆弱性はまだ名前が明かされていませんが、 サイバーセキュリティ ベンダー GTSC によって詳しく説明されていますが、エクスプロイトに関する情報はまだ収集中です。パッチが公開される前にこの欠陥への一般のアクセスが明らかであったため、これは「ゼロデイ」脆弱性とみなされます。
この脆弱性に関するニュースは、先週の木曜日 9 月 29 日、ゼロデイ イニシアチブ プログラムを通じてマイクロソフトに初めて提出され、マルウェア CVE-2022-41040 および CVE-2022-41082 の悪用により「攻撃者がリモートでコードを実行できる可能性がある」と詳述されていました。 トレンドマイクロ によると、Microsoft Exchange サーバーに影響を与えました。
Microsoftは金曜日、ゼロデイ脆弱性に対処し、パッチを作成するために「スケジュールの加速に取り組んでいる」と述べた。しかし、研究者の Kevin Beaumont 氏は Twitter で、この欠陥が悪質なプレイヤーによって複数の Exchange サーバーのバックエンドにアクセスするために利用されたことを認めました。
すでに悪用が横行しているため、企業や政府機関が悪者から攻撃される機会は十分にあります。これは、Exchange サーバーがインターネットに依存しており、接続を切断すると多くの組織の生産性が低下するためであると、Qualys のマルウェア脅威研究担当バイスプレジデントである Travis Smith 氏は Protocol に語った。
CVE-2022-41040 および CVE-2022-41082 マルウェアがどのように機能するかについては詳細は不明ですが、数人の研究者が他の脆弱性との類似点を指摘しています。これらには、Apache Log4j の脆弱性と「ProxyShell」の脆弱性が含まれており、どちらもリモートでコードが実行されるという共通点があります。実際、古い欠陥がすべてのパッチで最新であることが 判明するまで、何人かの研究者が新しい脆弱性を ProxyShell のものと誤解していました。これにより、CVE-2022-41040 および CVE-2022-41082 はまったく新しい、これまでに見たことのない脆弱性であることが明確になりました。
「それが本当だとすると、現在使用されているセキュリティの実践や手順の一部でさえ不十分であることがわかります。 彼らは、この ITエコシステムの 基盤であるコードとソフトウェアに内在する脆弱性に立ち返るのです 」と、クリントン大統領とブッシュ大統領のサイバーセキュリティおよび対テロ対策の元メンバーであるロジャー・クレッシー氏はDigitalTrendsに語った。
「市場で支配的な地位を築いていると、解決したと思っていたエクスプロイトが発生したときに必ず被害に遭うことになりますが、実際には、それに関連した別のエクスプロイトが、予想外のときに現れることが判明します。そして、交換は、私がいわゆる安全で安全なサービスの典型ではありません」と彼は付け加えた。
マルウェアとゼロデイ脆弱性は、すべてのテクノロジー企業にとってほぼ一貫した現実です。しかし、Microsoft は問題を特定して修正し、攻撃後の脆弱性に対するパッチを提供できるようにする能力を完成させました。
CISA 脆弱性カタログ によると、Microsoft Systems は年初以来 238 件のサイバーセキュリティ上の欠陥にさらされており、これは発見されたすべての脆弱性の 30% を占めています。これらの攻撃には、Apple iOS、Google Chrome、Adobe Systems、Linux など、他の主要なテクノロジー ブランドに対する攻撃が含まれます。
「ゼロデイを抱えているテクノロジー IT 企業が数多くあり、それが敵に発見され悪用されています。問題は、Microsoft が市場の支配に成功してきたため、その脆弱性が発見されたとき、その規模と範囲の点で連鎖的な影響が信じられないほど大きくなることです。そのため、マイクロソフトがくしゃみをすると、重要インフラの世界はひどい風邪を引き、それがここでは繰り返されているようです」とクレッシー氏は語った。
今年初めに 解決された ゼロデイ脆弱性の 1 つは、ハッカーに Microsoft サポート診断ツール (MSDT) へのアクセスを許可する Follina (CVE-2022-30190) でした。このツールは通常、Microsoft Office および Microsoft Word に関連付けられています。ハッカーは これを悪用してコンピュータのバックエンドにアクセスし、プログラムのインストール、新しいユーザー アカウントの作成、デバイス上のデータの操作を許可することができました 。
この脆弱性の存在に関する初期の報告は、回避策によって修正されました。しかし、ハッカーがチベット離散民や米国およびEUの政府機関を標的にするために収集した情報を利用し始めたため、マイクロソフトはソフトウェアの恒久的な修正に介入した。