ESET カスタマーアドバイザリー 2021-0004
2021年3月11日
深刻度クリティカル
概要
2021年3月2日、マイクロソフトはExchange Server 2013、2016、2019の重大な脆弱性に関する情報を公開しました。これらの脆弱性により、リモートの攻撃者は、アクセス認証情報を知らなくても、インターネット経由で到達可能なあらゆるExchangeサーバーを制御できるようになります。同時に、マイクロソフトはこれらの脆弱性に対するパッチもリリースしており、ESETはできるだけ早くパッチをインストールすることを強く推奨しています。
詳細
脆弱性の性質上、サーバにWebシェルをインストールすることが可能であり、さらにマルウェアをインストールするためのエントリポイントとして機能します。ESETセキュリティ製品は、悪用プロセスで使用される以下のWebシェルとバックドアを検出します:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
悪用可能性の高さと、複数の脅威行為者が悪用可能なサーバーを見つけるためにインターネットを積極的にスキャンしているという事実を考えると、インターネットに公開されているほとんどのサーバーが侵害されている可能性があると予想される。さらなる悪用を防ぐためには、マイクロソフトが提供する利用可能な更新プログラムを早急にインストールする必要がある。
しかし、パッチを適用しても、すでに侵入されたサーバーをクリーンにすることはできない。そのため、調査を実施し、侵害の痕跡やマルウェアまたはマルウェアの痕跡を環境内で検索し、アクセス認証情報を変更する必要があります。
侵害されたサーバーの修復に関するさらに詳細な分析と詳細については、ESETのWeLiveSecurityブログ記事(https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/)を参照してください。
注:脆弱性の1つはExchange Server 2010にも影響します。これは攻撃の連鎖の最初のステップではありませんが、徹底的な防御を目的としてパッチが発行されました。悪用の可能性がないか調査することをお勧めします。
フィードバックとサポート
この問題に関するフィードバックやご質問は、ESET Security Forum、またはESETテクニカルサポートまでお問い合わせください。
リソース
- Exchange サーバが少なくとも 10 の APT グループに包囲されている- ESET の WeLiveSecurity ブログ記事
- ESET Researchの最初のツイート
- ESETはMicrosoft ExchangeのHafniumゼロデイエクスプロイトから保護してくれますか?
- CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065- マイクロソフトセキュリティレスポンスセンターの脆弱性の詳細。
- 0日エクスプロイトでExchangeサーバーを狙うHAFNIUM- Microsoft Securityのブログポスト
- Exchange Server 向けに複数のセキュリティ更新プログラムがリリース- マイクロソフト セキュリティ レスポンス センターのブログ記事
- Microsoft Exchange Server の脆弱性の緩和- マイクロソフトセキュリティレスポンスセンターのブログ記事
- 2021年3月 Exchange Server セキュリティ更新プログラム- Exchange Team blog post at Microsoft Tech Community
バージョンログ
バージョン 1.0(2021 年 3 月 11 日):この文書の初期バージョン
