Microsoftは米国時間4月13日、「Microsoft Exchange Server」に潜んでいる新たな脆弱性に対するパッチを速やかに適用するよう顧客に推奨した。
Microsoftと米国家安全保障局(NSA)はともに、この月例セキュリティパッチ「Patch Tuesday」の適用を呼びかけている。
Microsoftは、Exchange Serverに潜んでいる2種類のリモートコード実行(RCE)脆弱性(「CVE-2021-28480」と「CVE-2021-28481」)を発見したNSAに謝意を表している。これらの脆弱性はいずれも、ユーザーとのやり取りなしに攻撃を実行できる可能性があるという点で、共通脆弱性評価システム(CVSS)で9.8というスコアが割り当てられている。
今回リリースされたパッチを全体的に見た場合、「Windows」から「Microsoft Edge」(Chromiumベース)、「Microsoft Azure」「Microsoft Office」「SharePoint Server」、Exchange Serverに至るまでの製品に含まれる約110件の脆弱性が対象となっている。トレンドマイクロのZero Day Initiative(ZDI)ブログによると、今回対処された脆弱性の数は2021年の月例パッチでは最大だという。
同社は今回のExchange Serverの脆弱性について、以下のように述べている。
われわれはこれらの脆弱性が当社の顧客に対する攻撃で実際に悪用されていることを確認していない。しかし、Exchangeに対する最近の攻撃を鑑み、この種の攻撃から確実に保護するよう、可能な限り早急なアップデートの適用を推奨する。
Exchange Serverについては、数週間前にゼロデイ脆弱性を悪用した攻撃が世界各地のシステムで報告されていた。Microsoftは3月2日、Exchange Serverに複数の脆弱性が見つかり、これを悪用する限定的な標的型サイバー攻撃が確認されたとして、定例外でセキュリティ更新プログラムを公開した。脆弱性は「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」に存在する。Microsoftは、データの窃盗やサーバーの乗っ取りにつながるおそれがあるゼロデイ脆弱性4件が、「限定的な標的攻撃」で盛んに悪用されているとしていた。
さらに、国家の関与が疑われる中国のAPT(高度標的型攻撃)グループのHafniumに悪用されていると警告した。世界中でさまざまな組織の非常に多くのシステムが侵害されたと推定されている。
Microsoftは、3月の緊急パッチのほか、影響を緩和するための情報を公開しているほか、ワンクリックで利用できる緩和ツールをリリースしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。