オンプレミスのMICROSOFT EXCHANGEの脆弱性を軽減する

CISAがオンプレミスのMicrosoftExchangeの脆弱性が悪用されていることを確認しています。現時点では、脆弱性も特定されたエクスプロイト活動も、Microsoft365またはAzureクラウドに影響を与えることはわかっていません。もしこれらの脆弱性の悪用に成功すると、攻撃者はオンプレミスのExchange Serverにアクセスできるようになり、社内ネットワークの永続的なシステムアクセスと制御を取得できるようになります。

MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES | CISA

CISAは、オンプレミスのMicrosoft Exchangeにおける悪用は、政府や民間企業に容認できないリスクをもたらし、緊急措置が必要であると判断しました。

そこでCISAはED21-02を発行し、オンプレミスのMicrosoft Exchangeを実行している連邦機関および民間部門に、Microsoftパッチで更新されるまで、システムをネットワークから切断することを要求しました。

現在、この既知の悪用活動に関連する脆弱性には、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065が含まれます。マイクロソフトとセキュリティ研究者によると、次の脆弱性は関連していますが、CVE-2021-26412、CVE-2021-26854、CVE-2021-27078、悪用されることは知られていません。

MAR-10330097-1.v1: DearCry ランサムウェア は、侵害されたオンプレミスの Exchange サーバーを悪用するために使用されたランサムウェアを識別します。このマルウェアは、デバイス上のファイルを暗号化し、復号化と引き換えに身代金を要求します。

MAR-10331466-1.v1: China Chopper Webshel​​l は、侵害後の Microsoft Exchange Server で観察された China Chopper Webshel​​l を識別します。初期アクセスで Microsoft Exchange Server の脆弱性の悪用に成功した後、悪意のあるサイバー アクターは Webshel​​l をアップロードして、影響を受けるシステムのリモート管理を可能にすることができます。

3 月 31 日、CISA はED 21-02 に対する補足ガイダンスを発行しました。補足ガイダンスは、連邦政府機関向けの追加のフォレンジック トリアージおよびサーバー強化要件を提供します。具体的には、補足指示では、政府機関が新しく開発されたツール (Microsoft の Test-ProxyLogon.ps1 スクリプトとセーフティ スキャナー (MSERT)) を実行して、Microsoft Exchange Server が侵害されたかどうかを調査する必要があります。

Microsoft Exchange Server の脆弱性に関する更新: 3 月 13 日、CISA は Alert AA21-062A: Mitigate Microsoft Exchange Server Vulnerabilitiesに 7 つのマルウェア分析レポート (MAR) を追加しました。

Microsoft Exchange Server の侵害に関する FBI-CISA 合同勧告: 3 月 10 日、CISA と連邦捜査局 (FBI) は、最近公開された Microsoft Exchange Server の脆弱性に対処するための合同サイバーセキュリティ勧告 (CSA) をリリースしました。

Microsoft Exchangeオンプレミス製品の脆弱性の軽減:3月6日に公開されたこのドキュメントでは、ED-2102で対処された脆弱性を軽減するために必要な手順について詳しく説明しています。

Exchange Serverの脆弱性に対するMicrosoftIOC検出ツール:2021年3月2日に開示された脆弱性に関連する侵入の痕跡(IOC)についてExchangeログファイルをスキャンするスクリプト 。

MicrosoftがExchangeServerの脆弱性に対する代替の緩和策をリリース:2021年3月2日に開示された脆弱性 に対処がすぐできないExchangeServerの顧客向け の代替の緩和策に関する情報を含む現在報告 。

CISAがMicrosoftExchangeの脆弱性に関する緊急指令とアラートを発行| CISA:3月3日、Microsoft Exchange製品の重大な脆弱性に対処する緊急指令(ED)21-02およびアラートAA21-062Aを発行しました。

Microsoft ExchangeServerの脆弱性を軽減する| CISA:3月3日、アクティビティアラートを発行しました。このアラートには、この悪意のあるアクティビティに関連する戦術、技術、手順(TTP)と侵入の痕跡(IOC)の両方が含まれています。 

マイクロソフトがExchangeServerの帯域外セキュリティ更新プログラムをリリース| CISA:3月2日、Microsoft Exchange Server 2013、2016、および2019に影響を与える脆弱性を対処するために、Microsoftがリリースした帯域外セキュリティ更新プログラムに関する情報を含む現状報告。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ