オンプレミス Microsoft Exchange Server 緊急度の高い脆弱性 CVE-2021-26855などが発見されて、ゼロデイ攻撃をすでに受けていて被害が拡大している問題で、 放置は厳禁だということがわかりました。
まず、今回の脆弱性をついた攻撃に関してですが、すでに感染してしまった場合は、パッチを適用しても効果がないそうです。
情報元はこちら
【セキュリティ ニュース】「Exchange Server」への攻撃が拡大 - MSが侵害確認スクリプトを公開(1ページ目 / 全1ページ):Security NEXT
脆弱性の公表当初、マイクロソフトは脆弱性の悪用は限定的であるとの見方を示していたが、その後攻撃は、広範囲に拡大した模様だ。セキュリティ分野で著名なジャーナリストであるBrian Krebs氏は、少なくとも3万組織、ワールドワイドで数十万の組織に被害が及ぶ可能性があるとの情報を得たことを自身のブログで明らかにしている。
またサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、あらためて発行したアラートで、「IoC(Indicators of Compromise)」情報などを公開したほか、ワールドワイドの広範囲で脆弱性が悪用されていると指摘し、注意を喚起した。
マイクロソフトでは、脆弱性を修正するアップデートの公開とともに緩和策を示しているが、すでに侵害されている場合はこれらで修復できず、攻撃から保護することもできないことを強調。侵害を受けていないか確認するコマンドを自動化したスクリプトをリリースし、ログなどを調査し、侵害を受けていないか確認するよう強く求めた。あわせて内部の脆弱性なサーバを発見するためのスクリプトなども用意している。~
すでに侵害されている場合はこれらで修復できず、攻撃から保護することもできないとありますが、そういった状態から回復するのは大変では???ということなので、運用者はすぐに適用したほうがいいと思います。
そして、マイクロソフトの情報はこちらです。
Microsoft Exchange Serverの脆弱性の軽減– 2021年3月6日更新
Exchange Server 2013、2016、および2019にパッチを適用できない場合の暫定的な緩和策が紹介されています。
IIS再書き込みルールを実装し、ユニファイドメッセージング(UM)、Exchangeコントロールパネル(ECP)VDir、およびオフラインアドレスブック(OAB)VDirサービスを無効にします
ただし、機能にいくつかの既知の影響を及ぼしますとあるのでパッチ適用が推奨です。
基本はすぐにパッチを適用することですが、大手企業で停止などに調整が必要な場合や、すぐに対応できない場合は、緩和策を講じる必要があります。緊急性が高いものなので、早急に対応を検討したほうがいいですね。
