I. 概要
2021年3月2日(米国時間)、マイクロソフトからMicrosoft Exchange Serverの複数の脆弱性に関する情報が公開されました。
脆弱性が悪用された場合、遠隔の第三者がSYSTEM権限で任意のコードを実行するなどの可能性があります。
これらの内、4件の脆弱性はすでに攻撃での悪用が確認されているため、早急に対策を実施することを推奨します。
マイクロソフトが提供する情報を参照し、早期の対策実施を検討してください。
参考:https://www.jpcert.or.jp/at/2021/at210012.html

Microsoft The_Exchange_Team
Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

マイクロソフト株式会社
Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/


II. 対象
対象となる製品は次のとおりです。なお、Microsoft Exchange Onlineは影響を受けないとのことです。

– Microsoft Exchange Server 2019
– Microsoft Exchange Server 2016
– Microsoft Exchange Server 2013


III. 対策
マイクロソフトから脆弱性を修正するためのアップデートが公開されています。
マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて優先的に対策を実施することを推奨しています。
早期の対策実施を検討してください。

– Microsoft Exchange Server 2019 (CU 8, CU 7)
– Microsoft Exchange Server 2016 (CU 19, CU 18)
– Microsoft Exchange Server 2013 (CU 23)

なお、すでにサポートが終了しているMicrosoft Exchange Server 2010についてもアップデートが提供されています。


IV. 関連情報
マイクロソフトなどから、観測した攻撃の内容を解説する情報が公開されています。
同社のブログでは、悪用された脆弱性の内容に加え、攻撃で確認された活動、攻撃の被害有無を確認するための調査方法やインジケータ情報が公開されています。
調査を実施する場合の参考にしてください。

Microsoft
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

** 更新: 2021年3月8日追記 ********************************************
マイクロソフトが改めてブログを公開し、速やかな対策実施に加え、脆弱性を悪用する攻撃の被害有無の調査を推奨するとともに、侵入の痕跡有無を調査するPowerShellスクリプトなどをGithubで公開しています。
また、本脆弱性を悪用した攻撃については、VolexityやFireEye、米CISAなどもインジケータや調査方法に関する情報を公開しています。
マイクロソフトなどが提供する情報を参考に、速やかな対策実施や調査を実施することを推奨します。

マイクロソフト株式会社
Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/

Microsoft
microsoft / CSS-Exchange
https://github.com/microsoft/CSS-Exchange/tree/main/Security

CISA
Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities
https://us-cert.cisa.gov/ncas/alerts/aa21-062a

Volexity
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

FireEye
Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
***********************************************************************


V. 参考情報
Microsoft
New nation-state cyberattacks
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

Microsoft
CVE-2021-26855 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

Microsoft
CVE-2021-26857 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

Microsoft
CVE-2021-26858 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

Microsoft
CVE-2021-27065 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065