JPCERT-AT-2021-0012
JPCERT/CC
2021-03-03(新規)
2021-03-08(更新)
Microsoft The_Exchange_Team
Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
マイクロソフト株式会社
Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2019 (CU 8, CU 7)
- Microsoft Exchange Server 2016 (CU 19, CU 18)
- Microsoft Exchange Server 2013 (CU 23)
なお、すでにサポートが終了しているMicrosoft Exchange Server 2010についてもアップデートが提供されています。
Microsoft
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Microsoft
New nation-state cyberattacks
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
Microsoft
CVE-2021-26855 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
Microsoft
CVE-2021-26857 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
Microsoft
CVE-2021-26858 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
Microsoft
CVE-2021-27065 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2021-03-08 「IV. 関連情報」の更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-03-03(新規)
2021-03-08(更新)
I. 概要
2021年3月2日(米国時間)、マイクロソフトからMicrosoft Exchange Serverの複数の脆弱性に関する情報が公開されました。脆弱性が悪用された場合、遠隔の第三者がSYSTEM権限で任意のコードを実行するなどの可能性があります。これらの内、4件の脆弱性はすでに攻撃での悪用が確認されているため、早急に対策を実施することを推奨します。マイクロソフトが提供する情報を参照し、早期の対策実施を検討してください。Microsoft The_Exchange_Team
Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
マイクロソフト株式会社
Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
II. 対象
対象となる製品は次のとおりです。なお、Microsoft Exchange Onlineは影響を受けないとのことです。- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
III. 対策
マイクロソフトから脆弱性を修正するためのアップデートが公開されています。マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて優先的に対策を実施することを推奨しています。早期の対策実施を検討してください。- Microsoft Exchange Server 2019 (CU 8, CU 7)
- Microsoft Exchange Server 2016 (CU 19, CU 18)
- Microsoft Exchange Server 2013 (CU 23)
なお、すでにサポートが終了しているMicrosoft Exchange Server 2010についてもアップデートが提供されています。
IV. 関連情報
マイクロソフトなどから、観測した攻撃の内容を解説する情報が公開されています。同社のブログでは、悪用された脆弱性の内容に加え、攻撃で確認された活動、攻撃の被害有無を確認するための調査方法やインジケータ情報が公開されています。調査を実施する場合の参考にしてください。Microsoft
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
更新: 2021年3月8日追記
マイクロソフトが改めてブログを公開し、速やかな対策実施に加え、脆弱性を悪用する攻撃の被害有無の調査を推奨するとともに、侵入の痕跡有無を調査するPowerShellスクリプトなどをGithubで公開しています。また、本脆弱性を悪用した攻撃については、VolexityやFireEye、米CISAなどもインジケータや調査方法に関する情報を公開しています。マイクロソフトなどが提供する情報を参考に、速やかな対策実施や調査を実施することを推奨します。
マイクロソフト株式会社
Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/
Microsoft
microsoft / CSS-Exchange
https://github.com/microsoft/CSS-Exchange/tree/main/Security
CISA
Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
Volexity
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
FireEye
Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
マイクロソフト株式会社
Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/
Microsoft
microsoft / CSS-Exchange
https://github.com/microsoft/CSS-Exchange/tree/main/Security
CISA
Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities
https://us-cert.cisa.gov/ncas/alerts/aa21-062a
Volexity
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
FireEye
Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
V. 参考情報
Microsoft
New nation-state cyberattacks
https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/
Microsoft
CVE-2021-26855 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
Microsoft
CVE-2021-26857 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
Microsoft
CVE-2021-26858 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
Microsoft
CVE-2021-27065 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2021-03-03 初版2021-03-08 「IV. 関連情報」の更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp