前提
この記事は脆弱性に対する対応方法を記載するものとなります。
この記事で知り得たことを悪用することは禁止します。
概要
Microsoft Exchange Serverの脆弱性です。
いくつかの脆弱性を組み合わせることにより、任意コードの実行が可能となり、Webシェルを設置されたりなどの被害が発生しています。
対象
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
対策
パッチをあてることです。
ただし、既にWebシェルを設置されているなどして侵入済みの場合はパッチをあてるだけでは対応できません。
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 techcommunity.microsoft.com
緩和策
以下サイトを参考に、対応策を実施します。
ただし、脆弱性に対する完全な対応ではありません。
また、既に侵入されている場合への対策にもなりません。
msrc-blog.microsoft.com
個人的勝手な運用側の対応予想
昔社内SEをやっていたので、Exchange Serverを使用しているところがどのように対応していくのか考えてみました。
メールサーバですので、パッチをあてたことによる影響を考えると、一定期間テストが必要かと思います。
今回は緩和策もありますので、検証環境に一週間程度緩和策を実施して問題ないことを確認するのかなと思いました。
その後、本番環境に緩和策を実施し、検証環境にパッチをあてて一週間程度様子を見て、その後本番環境にもパッチをあてるかと予想しています。
第二週にある更新プログラムではなく、第一週にあるOffice関連のアップデートでこの情報が公開されたので、たぶん対応用の工数を取っていないかと思います。
3月の忙しい時期にこのクラスの対応を追われるのはゾッとします。
また、既に悪用の事実があるということなので、脆弱性の対応だけでなく、攻撃されていないか確認する必要があると思います。
パッチ適用+ログ調査をしている中で定例の更新も来るのか・・・と、私がやるわけではないですが、想像しただけで疲れます。
この場で、調査・対応をする方々に「お疲れ様です」と「ありがとうございます」を言いたいと思います。
参考サイト
ProxyLogon
実際に脆弱性を発見したOrange Tsaiによるサイト。
proxylogon.com
HAFNIUM targeting Exchange Servers with 0-day exploits
脆弱性の技術的な内容と、侵入後の行動や使用されているツールなど。
www.microsoft.com
MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES
CISAによる緊急指令。
www.cisa.gov
At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
既に悪用されている事実。
krebsonsecurity.com
更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等)
www.ipa.go.jp
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
www.jpcert.or.jp
対策参考ツイート
先日定例外で公開したゼロデイ攻撃が確認されているExchangeの脆弱性に対するセキュリティパッチ。早急適用を強く強く推奨しています。パッチ適用に時間がかかる環境にて、当面の対策として活用頂ける緩和策の追加公開しました。併せて是非ご確認お願いします https://t.co/EssfNjwlvY
— Yurika (@EurekaBerry) March 6, 2021
注意。これらは、現在想定されている攻撃を緩和する策であり、脆弱性に対する完全な回避策ではありません。脆弱性を完全に回避するためにはパッチ適用のみが有効です。必ずすべてのオンプレExchangeにパッチ適用が最終的には必要です。またすでに侵害を受けている場合の対策でもありません。
— Yurika (@EurekaBerry) March 6, 2021
Exchangeのパッチ CU/RU/SUを適用するの問題は各KBの既知の問題にまとめてありますのでご確認ください。特に、Exchangeの更新は今回のパッチに限らず、UACが有効な場合管理者で実行にせず手動でインストールした際に、ファイルが正しく更新されず、OWA や ECP が正常に動作しない場合があります
— Yurika (@EurekaBerry) March 6, 2021
あと古いCUから最新CUに一気に上げることは可能ですが、その場合は 必要となる.NET Framework の要件などもご確認いただくことを推奨です。必要 .NET のマトリックス:https://t.co/NjmddDh89g
— Yurika (@EurekaBerry) March 6, 2021
コメント