Microsoft DefenderAntivirusによるオンプレミスExchangeServerの脆弱性緩和策

依然として、パッチが適用されていないオンプレミスバージョンのExchange Server 2013、2016、および2019が攻撃に晒されており、この脆弱性緩和ツールはオンプレミスExchange Serverの現行のみならず古いバージョンにも対応する。およびこれらの攻撃に対処するためのガイダンスがリリースされました。

Microsoft Security BLOG

この暫定的な緩和策は、最新のExchange累積更新プログラムの対応に時間をかけている間も保護されるように設計しています。

このセキュリティ更新プログラム(KB5000871)により、Microsoft DefenderAntivirusとSystemCenter Endpoint Protectionは、ExchangeServer上のCVE-2021-26855を自動的に脆弱性を軽減します。自動更新がオンになっている場合は、最新のビルド1.333.747.0以降であることを確認してください。

よくある質問

Q:ExchangeServerにMicrosoftDefender Antivirusがインストールされている場合、この緩和策を取得するためにさらにアクションを実行する必要がありますか?

A:Microsoft Defender Antivirusをインストールし、自動定義更新を有効にしている(デフォルト設定)お客様は、緩和策を受け取るためにさらにアクションを実行する必要はありません。

Q:私の組織はMicrosoft DefenderAntivirus定義の更新を管理しています。この緩和策を確実に適用するには、何をする必要がありますか?

A:Microsoft Defender Antivirus定義の更新を管理するお客様は、新しい検出ビルド(1.333.747.0以降)を選択し、それをExchangeServerに展開する必要があります。

Q:この緩和策の後も、セキュリティ更新プログラムをインストールする必要がありますか?

A:はい。この自動緩和策は、CVE-2021-26855を緩和することにより、攻撃チェーンを断ち切ります。お客様は、脆弱性に包括的に対処するために、ExchangeServerのセキュリティ更新プログラムを最新のものにすることを優先する必要があります。

Q:Microsoft Defender Antivirusはいつ緩和策を適用しますか?

A:Microsoft Defender Antivirusは、脆弱なバージョンのExchange Serverがインストールされているかどうかを自動的に識別し、セキュリティインテリジェンスの更新プログラムが最初に展開されたときに緩和策を適用します。緩和策は、マシンごとに1回展開されます。

Q:緩和策を受けるにはクラウド保護が必要ですか?

A:いいえ。ただし、クラウド保護を有効にすることは、絶えず変化する脅威環境に対する最新の保護を維持するためのベストプラクティスです。お客様は、クラウド保護を有効にすることをお勧めします。

Q:Microsoft Defender Antivirusがない場合はどうすればよいですか?

A:ここにあるワンクリックのMicrosoftExchangeオンプレミス軽減ツールを使用してください。

One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021
MSRC / By MSRC Team / March 15, 2021 / CVE-2021-26855CVE-2021-26857CVE-2021-26858CVE-2021-27065partial mitigations

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター