Microsoft Exchange Server に対するゼロデイ脆弱性の調査報告と、お客様向けのガイダンスが公表されました。
Microsoft Exchange サーバーのゼロデイ脆弱性報告に関するお客様向けガイダンス – Microsoft Security Response Center
これはオンプレミスの Exchange Server における2つの脆弱性を利用した、サーバーサイド リクエスト フォージェリ(SSRF)と PowerShell のリモート実行による標的型攻撃です。
ただしこれらは、認証されたユーザーアクセスが必要であり、攻撃者が何らかの方法で認証情報を取得しアクセスすることが前提となっています。
Server Side Request Forgery(SSRF)とは、攻撃者が外部から直接アクセスできない社内サーバーなどの情報へ、脆弱性やバグがあるサーバーを介してアクセスする攻撃手法です。
Microsoft からは、リモート PowerShell アクセスを無効にすることや、緩和策の適用がお勧めされています。
なお、Microsoft Exchange Online ではすでに監視や検出がされており、これらの措置は不要です。
また、Microsoft 365 Defender や Microsoft Defender for Endpoint などを併用した検出もお勧めされています。
Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082 - Microsoft Security Blog
Microsoft Security Response Center では、数件の標的型攻撃を確認しており、引き続き監視を続けてゆくとしています。