proxylogon(CVE-2021-26855等)の情報まとめ

IT
2021.03.06

前提

この記事は脆弱性に対する対応方法を記載するものとなります。
この記事で知り得たことを悪用することは禁止します。

概要

Microsoft Exchange Serverの脆弱性です。
いくつかの脆弱性を組み合わせることにより、任意コードの実行が可能となり、Webシェルを設置されたりなどの被害が発生しています。

対象

Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013

対策

パッチをあてることです。
ただし、既にWebシェルを設置されているなどして侵入済みの場合はパッチをあてるだけでは対応できません。
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 techcommunity.microsoft.com

緩和策

以下サイトを参考に、対応策を実施します。
ただし、脆弱性に対する完全な対応ではありません。
また、既に侵入されている場合への対策にもなりません。
msrc-blog.microsoft.com

個人的勝手な運用側の対応予想

昔社内SEをやっていたので、Exchange Serverを使用しているところがどのように対応していくのか考えてみました。

メールサーバですので、パッチをあてたことによる影響を考えると、一定期間テストが必要かと思います。


今回は緩和策もありますので、検証環境に一週間程度緩和策を実施して問題ないことを確認するのかなと思いました。


その後、本番環境に緩和策を実施し、検証環境にパッチをあてて一週間程度様子を見て、その後本番環境にもパッチをあてるかと予想しています。

第二週にある更新プログラムではなく、第一週にあるOffice関連のアップデートでこの情報が公開されたので、たぶん対応用の工数を取っていないかと思います。


3月の忙しい時期にこのクラスの対応を追われるのはゾッとします。

また、既に悪用の事実があるということなので、脆弱性の対応だけでなく、攻撃されていないか確認する必要があると思います。


パッチ適用+ログ調査をしている中で定例の更新も来るのか・・・と、私がやるわけではないですが、想像しただけで疲れます。

この場で、調査・対応をする方々に「お疲れ様です」と「ありがとうございます」を言いたいと思います。

参考サイト

ProxyLogon
実際に脆弱性を発見したOrange Tsaiによるサイト。
proxylogon.com

HAFNIUM targeting Exchange Servers with 0-day exploits
脆弱性の技術的な内容と、侵入後の行動や使用されているツールなど。
www.microsoft.com

MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES
CISAによる緊急指令。
www.cisa.gov

At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
既に悪用されている事実。
krebsonsecurity.com

更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等)
www.ipa.go.jp

Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
www.jpcert.or.jp

対策参考ツイート

コメント

タイトルとURLをコピーしました