Microsoft Exchange Serverの脆弱性に対する緩和策 不十分で回避可能
MicrosoftはMicrosoft Exchange Serverにゼロデイの脆弱(ぜいじゃく)性が存在することを明らかにした。Microsoftはこの問題に対して緩和策を発表したが、セキュリティ研究者によれば公開された緩和策は不十分なようだ。
» 2022年10月06日 07時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
Bleeping Computerは2022年10月3日(現地時間)に「Microsoft Exchange server zero-day mitigation can be bypassed」を公開し、Microsoftが2022年9月29日(現地時間)に発表したMicrosoft Exchange Serverの2つの脆弱(ぜいじゃく)性に対する緩和策が不十分だと指摘した。
この脆弱性を利用するとリモートで任意のコードを実行できるとされ、緩和策の適用が推奨されていた。
Bleeping Computer「Microsoft Exchange server zero-day mitigation can be bypassed」のトップ(出典:Bleeping ComputerのWebサイト)セキュリティ研究者によれば、Microsoftが提案した緩和策は限定的な標的型攻撃に対処する内容で、緩和策そのものを回避できる。
リスクの高い状況に対処するには
Bleeping Computerは、「世界の1200以上の組織がMicrosoft Exchange Serverを利用していて、サイバーセキュリティ犯罪者にとって魅力的な標的だ」と警鐘を鳴らす。
関連記事
Microsoft Exchange Serverにゼロデイ脆弱性 標的型攻撃を確認
Microsoft Exchange Serverに2つのゼロデイ脆弱(ぜいじゃく)性が発見された。既にこの脆弱性を悪用した標的型攻撃が確認されており、該当する製品を使用している場合は緩和策を適用することが望まれる。
CISAが連邦政府機関に運用指令を発行 サイバーセキュリティ資産の可視化などを義務付け
CISAは連邦政府機関にサイバーセキュリティ資産の可視化および脆弱(ぜいじゃく)性検出の改善を指示する拘束力のある運用指令を発行した。これは、米国連邦政府の文民機関に義務付けられたものだが、CISAは民間企業やその他の政府組織に対しても実施を推奨している。
偽メール対処、約5割が「自信なし」 デジタル利用とセキュリティ認知に関する調査
パロアルトネットワークスは、企業に勤務する従業員のデジタル利用とセキュリティ認知に関する調査結果を発表した。同調査によると、セキュリティへの関心の度合いは2分した。その理由は。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。