Microsoftは米国時間9月30日、前日に発表したゼロデイ脆弱性が既に被害者のネットワークへの侵入およびデータの窃盗に用いられており、攻撃はさらに増える可能性が高いと警告した。
提供:Getty Images/iStockphoto
「Microsoft Exchange Server」に存在する2つのゼロデイ脆弱性、すなわちCVE-2022-41040とCVE-2022-41082については29日に詳細が明らかにされ、ハッカーによって悪用された場合、内部サービスへのアクセスや、ネットワーク上でのリモートコード実行が可能になると警告されていた。
そして同社は30日、これら脆弱性が、8月に最初に確認された攻撃で実際にどのように用いられていたかについてのさらなる情報を提供した。
同社が「標的を絞った少数の攻撃」と表現する、CVE-2022-41040とCVE-2022-41082という2つの脆弱性を連携させた攻撃により、「Active Directory」の監視やデータの窃盗を実行するための「ハンズオンキーボード攻撃」が可能になる。なお、被害企業/組織の名前は公表されていない。
攻撃を実行する上で、攻撃者は認証ユーザーとなっている必要があるものの、こうした認証情報はフィッシング攻撃やブルートフォース攻撃によって、あるいは地下フォーラムで販売されている盗難されたユーザー名とパスワードを購入することで入手できる。
こうした攻撃の背後にいるアクターに関する具体的な情報は現時点で明らかになっていないものの、Microsoftのセキュリティ脅威インテリジェンスチーム(MSTIC:Microsoft Security Threat Intelligence Team)は、国家の支援を受けたサイバー作戦に関連付けられている、ある単独の活動グループの仕業だと「中程度の確信をもって判断している」という。
同社は、これらの脆弱性に対処するためのセキュリティ修正をリリースするために「タイムラインを加速している」と述べているが、その詳細はまだ明らかにされていない。
ただ、これら脆弱性の内容は一般に向けて公開されているため、修正パッチが利用可能になる前にその隙を突こうとする攻撃作戦が既に開始されているとみてよいだろう。Microsoftも「これらの脆弱性を悪用するケースが今後増加していくだろう」と警告している。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)も、Exchange Serverのこの最新の脆弱性が攻撃者によって悪用される可能性があるという警告を発出している。
パッチはまだ利用可能になっていないが、Microsoftは脅威を緩和するためのガイダンスを提供している。その中には、管理者以外のユーザーによる「PowerShell」へのリモートアクセスを禁止するようExchange Serverの顧客に推奨するというものも含まれている。
CISAはアラートに「ユーザーと管理者はMicrosoftからの情報を検討し、パッチが利用可能になるまで、必要な緩和策を適用するようCISAは奨励する」と記している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。