3月初めにMicrosoftは、ハッキンググループによって積極的に悪用されているMicrosoft Exchangeの0-day脆弱性をいくつか公開しました。このたび、影響を受けるバージョンとそのパッチの詳細が明らかになりました。
先に進む前に、もしあなたがオンプレミス版のMicrosoft Exchangeを使用していないのであれば、パッチの推奨事項に興味がなければ、今は読むのをやめてもいいでしょう。
タイムライン
以下は、KrebsonSecurityによる非常に詳細な記事から抜粋したタイムラインです。
2021年1月 – 複数のグループがMicrosoft Exchangeにおけるリモートコード実行の脆弱性に関する調査結果をMicrosoftに報告し、後にMicrosoftがこれを確認する。
2021年2月下旬 – 攻撃者が脆弱性のあるExchangeサーバの大量スキャンを開始し、それらのサーバを危険にさらす。
2021年3月2日 – マイクロソフトが4つの0-day脆弱性に対するパッチをリリース。
2021年3月5日~7日 – KrebsonSecurityは、米国内の30,000の組織がこの脆弱性に感染していると推定しているが、これは後にWired.comによって確認された。
3月12日 – マイクロソフト社は、世界中に少なくとも80,000台のパッチが適用されていないExchangeサーバーがあると推定しています。
これらの脆弱性がもたらす影響は非常に気になるところですが、まだ不明です。PC Maticは、お客様がSuperShieldを実行し、侵害されたデバイスの脆弱性を介してもたらされる可能性のある未知のペイロードをすべて防止することで、無傷でいられることを確信しています。
どのバージョンが影響を受けますか?
マイクロソフトは、以下のバージョンのExchangeが影響を受けるというガイダンスを発表しました。
- Exchange 2019
- Exchange 2016
- Exchange 2013
- Exchange 2010
Exchange 2003および2007は、現時点では影響を受けていないと考えられるため、この脆弱性に適用するパッチはありません。
上記のいずれかのバージョン(2019,2016,2013,2010)を使用している場合は、できるだけ早くそのサーバーにパッチを適用する必要があります。マイクロソフトは、最新のCUへの移行や、今回の0日セットのセキュリティ修正プログラムのみを現在のCUに適用するなど、いくつかのパッチ適用の選択肢を提示しています。Exchange 2010 SP3を使用している場合は、この更新プログラムをインストールして、2021年3月のインシデントに備えてサーバーにパッチを適用することができます。

マイクロソフト社のExchangeアップデートパス を参照してください(出典)。
現在、Exchangeサーバーを最新のCUに対応させることができない場合は、このページのMicrosoft Download Centerセクションにアクセスし、現在のExchangeバージョンとCUを確認してください。その後、そのCUの新しいリリースバージョンをダウンロードして、現在2021年3月のインシデントとして知られているものに対するセキュリティ修正を適用することができます。

Microsoft Download Center セクションのリンクの例。
次のステップは?
マイクロソフトからのパッチの適用は、あくまでもステップ1です。お使いのExchangeサーバが危険にさらされていないかどうかを確認することが重要です。この攻撃の詳細については、マイクロソフト社のテクニカルアーティクルのように、いくつかの記事があります。そこには、攻撃の連鎖、侵害の兆候を探す方法、侵害に関連する既知のハッシュなどが記載されています。
繰り返しになりますが、PC Maticは、ExchangeサーバでSuperShieldを実行しているお客様が、攻撃者が侵害されたExchangeサーバにペイロードを配信しようとするいかなる試みからも安全であると確信しています。