LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について

JSOCアナリストの高井です。
Microsoft社は3月2日(米国時間)、Microsoft Exchange Serverの複数の脆弱性に関する情報を公開しました。また、3月4日に当該脆弱性の解説記事を公開しており、その中でCVE-2021-26855の脆弱性チェックツールを紹介しています。

公開された脆弱性が悪用されると、該当する製品が動作しているサーバにおいて、認証回避ののち、ファイル作成や任意のコード実行などの被害が発生する恐れがある危険な脆弱性のため早急な対応が必要です。

英国のセキュリティ企業Volexity社は、本脆弱性を狙った攻撃活動が早くとも約2か月前の2021年1月6日には始まっていたと報告しています。すなわち、これらの製品が、脆弱性の修正パッチが存在しない、いわゆるゼロデイの状態で攻撃の脅威にさらされていたことを意味します。

JSOCでは実際にファイル作成やコマンドを実行するような攻撃通信や概念実証コード(PoC)は確認しておりませんが、脆弱性の有無を調査する通信は観測しています。今後、悪用が可能なPoCが公開された場合には、攻撃が活発化し深刻な被害をもたらす可能性があります。

まずは影響を受ける可能性のあるソフトウェアの利用有無を確認のうえ、Microsoft社から提供されているセキュリティパッチの適用や緩和策の実施を推奨します。あわせて、サーバの侵害調査の実施を検討してください。

影響を受ける可能性があるソフトウェアバージョン

  • バージョン 15.02.0792.010 以前の Exchange Server 2019 CU8
  • バージョン 15.02.0721.013 以前の Exchange Server 2019 CU7
  • バージョン 15.01.2176.009 以前の Exchange Server 2016 CU19
  • バージョン 15.01.2106.013 以前の Exchange Server 2016 CU18
  • バージョン 15.00.1497.012 以前の Exchange Server 2013 CU23

※ サポートが終了しているバージョンに対しても影響がある可能性があります

攻撃に悪用された脆弱性

Volexity社やMicrosoft社が公開したレポートによると、以下4件の脆弱性が攻撃に悪用されています。

  • CVE-2021-26855:SSRFの脆弱性
  • CVE-2021-26857:Unified Messaging サービスにおける安全でないデシリアライゼーションの脆弱性
  • CVE-2021-26858:認証後の任意ファイル書き込みの脆弱性
  • CVE-2021-27065:認証後の任意ファイル書き込みの脆弱性

なお、CVE-2021-26855については脆弱性を調査するコードが一般に公開されています。

対策方法

脆弱なバージョンを利用している場合は、業務影響を考慮のうえで、最新のバージョンへのアップデートを推奨します。

Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871)

緩和策

Microsoft社より緩和策が公開されております。
セキュリティ更新プログラムを速やかに適用できない場合、以下URLを参照のうえ、各脆弱性に対する緩和策を取るほか、対象サーバへのアクセス制御を実施することを推奨します。

Exchange Server の脆弱性の緩和策 - Microsoft Security Response Center

攻撃を受けた可能性の調査

本脆弱性はゼロデイ攻撃が報告されており、該当する製品へ外部からWebアクセスできる環境の場合は、既に攻撃を受けている可能性があります。

上記の対策あるいは緩和策の実施に加え、以下URLを参照のうえ、攻撃を受けた痕跡がないか調査することを強く推奨します。

HAFNIUM targeting Exchange Servers with 0-day exploits

参考URL

この記事は役に立ちましたか?

はい いいえ