Microsoft Exchange Server Vulnerability Exploited, Mitigation & Patching Underway

本脆弱性が悪用された場合、攻撃者から送信された細工済みメールを利用者がOWAで閲覧し、特定の操作がされた段階で不正なJavaScriptが実行される。Microsoftは既に緩和策を公開しており、恒久対応のためのセキュリティ更新プログラムも準備中だという。

対策としてMicrosoftは、Exchange Emergency Mitigation Service（EM Service）の利用を推奨している。同機能は2021年9月から提供されており、既定で有効化されているため、有効な環境であれば今回の緩和策（識別子：「M2.1.x」）が自動的に配信される。管理者は、公式文書「Viewing Applied Mitigations」に記載された手順、またはスクリプトツール「Exchange Health Checker」を実行することで、緩和策の適用状況を確認できる。

EM Serviceが停止している環境に対しては、速やかに機能を有効化するよう促している。また、2023年3月以前のバージョン（ビルド）のExchange Serverを利用している場合、新しい緩和策を確認する機能は利用できない点も説明した。

EM Serviceを利用できない環境向けの手順も提示している。対象は閉域網や隔離環境などで、管理者が最新のExchange On-premises Mitigation Tool（EOMT）を取得し、Exchange Management Shell上からスクリプトを実行する形となる。この手法は、単一サーバ単位での適用と、全サーバへの一括適用の両方式に対応している。

今回の緩和策を適用した後に、幾つかの不具合も報告されている。OWAのカレンダー印刷機能の動作不全や、受信者側OWAの閲覧画面におけるインライン画像の表示異常、「OWA light（簡易版）」の動作不全などが含まれる。Microsoftは代替手段として、Outlookデスクトップアプリの利用や、画像をインラインではなく添付ファイル形式で送受信することなどを案内している。

監視機能への影響も確認されている。「OWACalendar.Proxy healthset」が異常状態に変化するため、監視製品側で警告が発生する場合がある。これに対しMicrosoftは、恒久的な修正版が公開されるまでは、監視基盤側でこの警告を一時的に無視する運用を推奨した。

さらに、緩和策の詳細画面に「Mitigation invalid for this exchange version.」というエラーが表示される事例も報告されているが、ステータス欄が「Applied」になっていれば緩和策自体は正常に適用されているという。Microsoftは、この表示上の不具合の解消方法についても現在調査中だ。

恒久対策となるセキュリティ更新プログラムの配信計画も明らかになった。対象となるバージョンは、Exchange SE RTM、Exchange 2016 CU23、Exchange Server 2019 CU14、CU15だ。Microsoftは、これらより古いCU（累積更新プログラム）を利用している企業に対し、速やかにアップデートを実施するよう求めている。

ただし、更新プログラムの配信条件には差異が存在する。Exchange SE用の更新プログラムは一般公開形式で提供されるが、Exchange 2016および2019用の更新プログラムを取得するには、「Period 2 Exchange Server 2016/2019 ESU（拡張セキュリティ更新）プログラム」への加入が必要となる。Period 1の限定契約のみを結んでいる利用者には更新プログラムが提供されない。なお、同制度（Period 1）は2026年4月に終了している。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、本脆弱性を「KEV（既知の悪用された脆弱性）カタログ」に追加した。CISAは、実際に悪用の事実（証拠）を確認したことを理由に挙げ、この種の脆弱性が攻撃者にとって主要な侵入経路になり得ると指摘。政府機関以外の組織に対しても、迅速な修正対応を促している。脆弱性管理の工程において、KEVカタログに収録された案件を優先的に処理することが、サイバー攻撃による被害の低減に直結すると説明した。