MicrosoftとZDI、Exchangeのゼロデイ欠陥を巡り意見が対立

MicrosoftとTrend MicroのZero Day Initiativeは、Trend Microが先週明らかにした4つのゼロデイ脆弱性について意見が対立しており、潜在的なリスクについて不確実性が高まっている。

脆弱性を調査し、研究者に代わってベンダーに欠陥を提出するトレンドマイクロの一部門である ZDI は、11 月 2 日、オンプレミス版の 4 つのゼロデイ脆弱性を明らかにしました。 Microsoft Exchange。 これらには、逆シリアル化とリモート コード実行の欠陥 ZDI-23-1578 が含まれます。 サーバー側のリクエスト フォージェリの欠陥 ZDI-23-1581。 SSRF 欠陥 ZDI-23-1580; SSRF の欠陥 ZDI-23-1579。 4つとも9月上旬に初めて発見された。

SSRF の欠陥により、攻撃者はサーバーの問題を悪用して、アクセスすべきではない機密データを読み取ったり、ダウンロードしたりすることができます。 で ブログ投稿 SSRF 問題に特化した著者で ZDI 研究者のピョートル・バジドウォ氏は、特に ZDI-23-1581 を強調し、認証されたリモート攻撃者がターゲットの Exchange 受信箱から機密情報を漏らす可能性があると指摘しました。 完全な技術的な詳細と概念実証は、この投稿でご覧いただけます。

「攻撃者はこのSSRFを悪用して応答の内容を取得できるため、これは良い発見だと思った。しかし、Microsoftは同意しなかった」と同氏は書いている。

Bazydło 氏は、ZDI によるこの問題の開示に対する Microsoft の回答を含め、同社は「この問題を調査し、直ちにサービスを行う必要はないと結論付けました。当社はあなたのレポートを製品またはサービスの保守を担当するチームと共有し、チームが検討する予定です」と述べています。将来的に修正される可能性があり、顧客を保護し続けるために必要に応じて適切な措置を講じます。」

一方、ZDI は、この問題がいつ修正されるか、修正されるかどうかが分からなかったため、現時点で完全な修正が提供されていないと思われる 4 つの欠陥についてブログ投稿を公開することにしました。 4 つの欠陥すべてについて、ZDI は専用のアドバイザリー ページで、「脆弱性の性質を考慮すると、唯一の顕著な軽減戦略はアプリケーションとの対話を制限することです」と推奨しています。

ただし、問題の 1 つであるリモート コード実行の欠陥 ZDI-23-1578 (Microsoft) 言った サイバーセキュリティに関する出版物 セキュリティウィーク 8月のセキュリティアップデートによってすでにパッチが適用されていたということです。

Microsoftの対応について尋ねられたZDIの脅威認識責任者Dustin Childs氏はTechTarget編集部に対し、Microsoftの修正はExchangeのデフォルト構成のみを対象としているため、ZDI-23-1578に対するMicrosoftの対応は「少し誤解を招く」と感じたと語った。 ZDI のバグ レポートには、デフォルト以外の構成シナリオが含まれています。 「私の考えでは、これは、多くの Exchange サーバーが依然として脆弱であることを意味します。そして今、管理者は、安全ではないかもしれないにもかかわらず、安全であると考えています」と彼は言いました。

さらに、チャイルズ氏は、Microsoft が SSRF のバグを軽視しているのは、脅威アクターの認証が必要であるためであると主張しました。 「多くの Exchange サーバーには認証できるユーザーが 1 人か 2 人存在しており、認証バイパスも問題となっているため、これらの点にはセキュリティ アップデートで対処する価値があると我々は考えています。」 同氏は、彼らの考え方は理解できるが、「彼らがもっと透明性を持って対応してほしいと願っている」とも付け加えた。

TechTarget 編集部は Childs 氏の懸念について Microsoft に問い合わせました。 これに対し、マイクロソフトの広報担当者は、ハイテク巨人が「これは脆弱性ではない」ことを確認したと述べた。

「サーバーを脆弱にするには、管理者が8月のセキュリティアップデートで追加された機能フラグを明示的に無効にする必要がある。これは現実的ではなく、可能性の高いシナリオではない」と広報担当者は述べた。

さらに、広報担当者は次のような声明を発表した。

私たちは、調整された脆弱性の開示の下でこれらの問題を提出したこの発見者の取り組みに感謝しており、お客様を保護するために必要な措置を講じることに全力で取り組んでいます。 これらのレポートを確認したところ、すでに対処されているか、重大度分類ガイドラインに基づく即時サービスの基準を満たしていないことが判明したため、必要に応じて将来の製品バージョンやアップデートでの対処を評価する予定です。

最後に、広報担当者は、ZDIが先週明らかにした4つの欠陥すべての背後にあるMicrosoftの考え方について詳細を共有した。

ZDI-23-1578に関してMicrosoftは、8月のセキュリティアップデートを適用した顧客はすでに保護されていると述べた。 ZDI-23-1581 については、「説明されている手法では、攻撃者が電子メールの資格情報に事前にアクセスする必要がありますが、特権の昇格に利用できるという証拠は提示されていません。」 ZDI-23-1579 について、広報担当者は認証後の要件について言及しました。 また、ZDI-23-1580については、広報担当者が「記載された手法では、攻撃者が電子メール認証情報に事前にアクセスする必要があるが、顧客の機密情報にアクセスするために利用できるという証拠は提示されていない」と述べた。

先週のZDIの開示と同じ日に、 Microsoft が Secure Future Initiative を発表、ソフトウェアと脆弱性の問題によりよく対処するためのテクノロジー巨人の計画。 マイクロソフトのブラッド・スミス社長は、同社の発表の一環として、「テクノロジー分野全体でより一貫した方法で、より透明性の高い報告を奨励する」と述べた。

Secure Future Initiative の発表は、特に同社のクラウド サービスにおける、報告された脆弱性に対する Microsoft の対応に対する数か月にわたる国民の声高な批判に続いて行われました。 で 8月の記事、Childs氏を含む情報セキュリティ部門の幹部や専門家らは、Microsoftが脆弱性を軽視し、サイレントパッチを適用することでセキュリティ業界に失敗していると感じているとTechTarget編集部に語った。

Alexander Culafi は、ボストンを拠点とする情報セキュリティ ニュースのライター、ジャーナリスト、ポッドキャスターです。