「Microsoft Exchange 2013」とそれ以降のバージョンに、Pythonで書かれた簡単なツールを使えば、一般のメールボックスユーザーの認証情報1つだけで、ドメインコントローラーの権限が獲得できる深刻なゼロデイ脆弱性が存在することが明らかになった。
この「PrivExchange」と名付けられたゼロデイ脆弱性の詳細は、オランダのサイバーセキュリティ企業の研究者Dirk-jam Mollema氏によって、現地時間1月21日に公開された。
同氏によれば、このゼロデイ脆弱性は単一のセキュリティホールではなく、(デフォルトの)設定やメカニズムを3つ組み合わせて利用することで、ハッキングされた電子メールアカウント1つから、企業のドメインコントローラーの管理者まで権限を昇格させることができるという。Mollema氏が示した3つの要素は以下の通りだ。
PrivExchangeは、最新のアップデートを適用したバージョンのMicrosoft ExchangeおよびWindows Serverドメインコントローラーでも悪用できることが確認されている。
Microsoftはまだこのゼロデイ脆弱性に対する緊急パッチを公開していない。ただしMollema氏は、ブログ記事でこの攻撃を防ぐいくつかの緩和策を提示している。
また、CERT/CCのこの記事でも同じ緩和策が示されている(訳注:JP/CERTとIPAが運営しているJVNでも、JVNVU#97449410で基本的に同じ緩和策を示している)。
今回の脆弱性は早急に対応すべき深刻なものだ。すでに概念実証ツールが公開されているため簡単に実行できる上に、もし悪用されれば、攻撃者に企業のWindowsインフラを完全に乗っ取られてしまうことになる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」