-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0012
                                                             JPCERT/CC
                                                    2021-03-03（新規）
                                                    2021-03-08（更新）

                  <<< JPCERT/CC Alert 2021-03-03 >>>

       Microsoft Exchange Serverの複数の脆弱性に関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210012.html


I. 概要
2021年3月2日（米国時間）、マイクロソフトからMicrosoft Exchange Server
の複数の脆弱性に関する情報が公開されました。脆弱性が悪用された場合、遠
隔の第三者がSYSTEM権限で任意のコードを実行するなどの可能性があります。
これらの内、4件の脆弱性はすでに攻撃での悪用が確認されているため、早急
に対策を実施することを推奨します。マイクロソフトが提供する情報を参照し、
早期の対策実施を検討してください。

    Microsoft The_Exchange_Team
    Released: March 2021 Exchange Server Security Updates
    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

    マイクロソフト株式会社
    Exchange Server のセキュリティ更新プログラムの公開 (定例外)
    https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/


II. 対象
対象となる製品は次のとおりです。なお、Microsoft Exchange Onlineは影響
を受けないとのことです。

  - Microsoft Exchange Server 2019
  - Microsoft Exchange Server 2016
  - Microsoft Exchange Server 2013


III. 対策
マイクロソフトから脆弱性を修正するためのアップデートが公開されています。
マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて
優先的に対策を実施することを推奨しています。早期の対策実施を検討してく
ださい。

  - Microsoft Exchange Server 2019 (CU 8, CU 7)
  - Microsoft Exchange Server 2016 (CU 19, CU 18)
  - Microsoft Exchange Server 2013 (CU 23)

なお、すでにサポートが終了しているMicrosoft Exchange Server 2010につい
てもアップデートが提供されています。


IV. 関連情報
マイクロソフトなどから、観測した攻撃の内容を解説する情報が公開されてい
ます。同社のブログでは、悪用された脆弱性の内容に加え、攻撃で確認された
活動、攻撃の被害有無を確認するための調査方法やインジケータ情報が公開さ
れています。調査を実施する場合の参考にしてください。

    Microsoft
    HAFNIUM targeting Exchange Servers with 0-day exploits
    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

** 更新: 2021年3月8日追記 ********************************************
マイクロソフトが改めてブログを公開し、速やかな対策実施に加え、脆弱性を
悪用する攻撃の被害有無の調査を推奨するとともに、侵入の痕跡有無を調査す
るPowerShellスクリプトなどをGithubで公開しています。また、本脆弱性を悪
用した攻撃については、VolexityやFireEye、米CISAなどもインジケータや調
査方法に関する情報を公開しています。マイクロソフトなどが提供する情報を
参考に、速やかな対策実施や調査を実施することを推奨します。

    マイクロソフト株式会社
    Exchange Server の脆弱性の緩和策
    https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/

    Microsoft
    microsoft / CSS-Exchange
    https://github.com/microsoft/CSS-Exchange/tree/main/Security

    CISA
    Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities
    https://us-cert.cisa.gov/ncas/alerts/aa21-062a

    Volexity
    Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
    https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

    FireEye
    Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
    https://www.fireeye.com/blog/threat-research/2021/03/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
***********************************************************************


V. 参考情報
    Microsoft
    New nation-state cyberattacks
    https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks/

    Microsoft
    CVE-2021-26855 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

    Microsoft
    CVE-2021-26857 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

    Microsoft
    CVE-2021-26858 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

    Microsoft
    CVE-2021-27065 | Microsoft Exchange Server のリモートでコードが実行される脆弱性
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-03-03 初版
2021-03-08 「IV. 関連情報」の更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=Y7gT
-----END PGP SIGNATURE-----