攻撃者はこれらの脆弱性を悪用して、ターゲットのホストへアクセスし永続性を維持する可能性があります。マイクロソフトの2021年4月のセキュリティ更新プログラム は、オンプレミスのExchange Server 2016および2019に影響を与える重大な脆弱性を軽減します。
注:2021年3月にリリースされたMicrosoftセキュリティ更新プログラムは、これらの脆弱性を修正しません。
us-cert.cisa.gov
これらの新たに開示された脆弱性に対応して、CISAは緊急指令(ED)21-02:オンプレミスのExchange Serverの脆弱性を軽減するため補足指示 Version 2を発行しました。補足指示 Version 2では、連邦政府機関がMicrosoftの2021年4月のセキュリティ更新プログラムを適用して、オンプレミスのExchange Server 2016および2019に影響を与えるこれらの重大な脆弱性を軽減する必要があります。
CISA緊急指令は、連邦機関のみ適用されますが、州および地方政府、重要インフラ、およびその他の民間組織が補足指示 Version 2を確認し、セキュリティ更新プログラムを直ちに適用することを強くお勧めします。追加情報については、次のリソースを確認してください。
- Microsoft 2021年4月セキュリティアップデートの概要 と展開情報
- CISA ED 21-02:MicrosoftExchangeオンプレミス製品の脆弱性を緩和する補足的な方向性V2
- CISAアラートAA21-062A:Microsoft ExchangeServerの脆弱性を軽減する
- CISA Webページ:MicrosoftExchangeの脆弱性の修正
過去の記事
