Microsoftは「Exchange Server 2016」「Exchange Server 2019」向けに四半期ごとに配布している2021年3月の累積更新プログラム(CU)を公開した。現在攻撃対象となっている重要な脆弱性に対処するセキュリティアップデートも含まれている。
Exchange Serverのオンプレミスユーザーは、同社が2日に公開済みのセキュリティアップデートをインストールしている可能性が高い。
同社は2日、4つのゼロデイ脆弱性などに対処する緊急パッチをリリースした。脆弱性は国家支援のハッカーに悪用され、その後、ランサムウェア攻撃にも発展した。
政府の電子メールサーバーに対する攻撃が急増したため、米国の連邦政府機関はExchange Serverの脆弱性に直ちにパッチを適用するように通達された。また英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)も、Microsoftの最新パッチが施されていないExchange Serverが推定3000台に上ると警鐘を鳴らしている。
しかし今回、Exchange Server 2016/2019のユーザーは、新たな方法で脆弱性に対処できるようになった。つまり、Microsoftが配布した最新の累積更新プログラムをインストールすれば、最も完全な緩和策を講じることができる。
「最新のCUには、2021年3月2日にExchange Serverのセキュリティアップデートとして配布した修正も含まれている。つまり、2021年3月のCUをインストールすれば、先に公開した2021年3月のセキュリティアップデートをインストールする必要はない」と、同社は指摘する。
また同社は企業のセキュリティチームのために、Exchange Serverの脆弱性(CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065)に関する詳細情報を別途公開した。
攻撃者は脆弱性を悪用して、Exchange Serverを遠隔から侵害し、「ウェブシェル」をインストールしてマシンでの永続性を維持している。このため同社は、オンプレミスのExchange Serverが侵害されている場合、セキュリティアップデートを適用した後も感染に対処するための作業が必要だと警告している。
「最良かつ最も包括的な緩和策は、最新の累積更新プログラムを入手して、全てのセキュリティアップデートを適用することだ。これが侵害に対する最も強力な保護を提供できるソリューションとして推奨している」と、MicrosoftはExchange Serverソフトウェアを扱うインシデント対応チームにアドバイスしている。
同社はさらに、セキュリティパッチまたは2021年3月のCUを展開するまでの間、影響を受けたExchange Serverを隔離する方法についても詳述している。管理者は、ポート443を介したインバウンド接続をブロックすればよいが、「在宅勤務者や、その他の非VPN(仮想私設網)を使ってリモートワークをしている従業員に差し障りが出るかもしれないほか、既に内部ネットワークに入り込んだ敵対者から身を守ることはできない」と警告する。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。