-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
JSOCアナリストの高井です。
Microsoft社は3月2日(米国時間)、Microsoft Exchange Serverの複数の脆弱性に関する情報を公開しました。また、3月4日に当該脆弱性の解説記事を公開しており、その中でCVE-2021-26855の脆弱性チェックツールを紹介しています。
公開された脆弱性が悪用されると、該当する製品が動作しているサーバにおいて、認証回避ののち、ファイル作成や任意のコード実行などの被害が発生する恐れがある危険な脆弱性のため早急な対応が必要です。
英国のセキュリティ企業Volexity社は、本脆弱性を狙った攻撃活動が早くとも約2か月前の2021年1月6日には始まっていたと報告しています。すなわち、これらの製品が、脆弱性の修正パッチが存在しない、いわゆるゼロデイの状態で攻撃の脅威にさらされていたことを意味します。
JSOCでは実際にファイル作成やコマンドを実行するような攻撃通信や概念実証コード(PoC)は確認しておりませんが、脆弱性の有無を調査する通信は観測しています。今後、悪用が可能なPoCが公開された場合には、攻撃が活発化し深刻な被害をもたらす可能性があります。
まずは影響を受ける可能性のあるソフトウェアの利用有無を確認のうえ、Microsoft社から提供されているセキュリティパッチの適用や緩和策の実施を推奨します。あわせて、サーバの侵害調査の実施を検討してください。
影響を受ける可能性があるソフトウェアバージョン
- バージョン 15.02.0792.010 以前の Exchange Server 2019 CU8
- バージョン 15.02.0721.013 以前の Exchange Server 2019 CU7
- バージョン 15.01.2176.009 以前の Exchange Server 2016 CU19
- バージョン 15.01.2106.013 以前の Exchange Server 2016 CU18
- バージョン 15.00.1497.012 以前の Exchange Server 2013 CU23
※ サポートが終了しているバージョンに対しても影響がある可能性があります
攻撃に悪用された脆弱性
Volexity社やMicrosoft社が公開したレポートによると、以下4件の脆弱性が攻撃に悪用されています。
- CVE-2021-26855:SSRFの脆弱性
- CVE-2021-26857:Unified Messaging サービスにおける安全でないデシリアライゼーションの脆弱性
- CVE-2021-26858:認証後の任意ファイル書き込みの脆弱性
- CVE-2021-27065:認証後の任意ファイル書き込みの脆弱性
なお、CVE-2021-26855については脆弱性を調査するコードが一般に公開されています。
対策方法
脆弱なバージョンを利用している場合は、業務影響を考慮のうえで、最新のバージョンへのアップデートを推奨します。
Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871)
緩和策
Microsoft社より緩和策が公開されております。
セキュリティ更新プログラムを速やかに適用できない場合、以下URLを参照のうえ、各脆弱性に対する緩和策を取るほか、対象サーバへのアクセス制御を実施することを推奨します。
Exchange Server の脆弱性の緩和策 - Microsoft Security Response Center
攻撃を受けた可能性の調査
本脆弱性はゼロデイ攻撃が報告されており、該当する製品へ外部からWebアクセスできる環境の場合は、既に攻撃を受けている可能性があります。
上記の対策あるいは緩和策の実施に加え、以下URLを参照のうえ、攻撃を受けた痕跡がないか調査することを強く推奨します。
HAFNIUM targeting Exchange Servers with 0-day exploits
参考URL
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR