目次
Microsoft Exchange Serverへのゼロディアタック
Microsoft Exchange Serverがゼロディアタックされ、2万アカウントを超えるメールアカウントが不正に操作され、メールの閲覧、送信などの不正操作が行われていました。
この件についてワシントンポストなどメディア各社が一斉に報じていますので、詳細は割愛し、MSから出ている更新プログラムと過去の侵入調査ツールが公開しておきますので、備忘録としてこちらの記事に張り付けておきます。
Microsoft Exchange Server 脆弱性に対する更新プログラム
もし、Exchange Serverを運用しているのであれば、早急に更新プログラムの適用と侵入の調査を実施されることをお奨めします。
3月2日時点で「Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871) 外部リンク」とし、Microsoftより更新プログラムが配布されています。
更新プログラムは、”Windows Update”より入手することができ、自動更新を有効にしている場合は、自動的にダウンロードし、インストールされます。
その他の入手方法は、「Microsoft カタログ」「Microsoft ダウンロードセンター」から入手することができます。
Microsoft カタログ
http://www.catalog.update.microsoft.com/Search.aspx?q=KB5000871
Microsoft ダウンロードセンター
- Exchange Server 2019 累積更新プログラム 8 用のセキュリティ更新プログラムをダウンロード (KB5000871)
- ·Exchange Server 2019 累積更新プログラム 7 用のセキュリティ更新プログラムをダウンロード (KB5000871)
- ·Exchange Server 2016 累積更新プログラム 19 用のセキュリティ更新プログラムをダウンロード (KB5000871)
- ·Exchange Server 2016 累積更新プログラム 18 用のセキュリティ更新プログラムをダウンロード (KB5000871)
- ·Exchange Server 2013 累積更新プログラム 23 用のセキュリティ更新プログラムをダウンロード (KB5000871)
Microsoft IOC(侵入痕跡)検出ツール
自社のExchange Serverへの侵入を調査する場合は「Microsoft IOC(侵入痕跡)検出ツール」が公開されています。US-CERTでもツイートしていますので、↓に張り付けておきます。
CISA is aware of widespread domestic and international exploitation of Microsoft Exchange Server vulnerabilities and urges scanning Exchange Server logs with Microsoft’s IOC detection tool to help determine compromise. https://t.co/khgCR2LAs0. #Cyber #Cybersecurity #InfoSec
— US-CERT (@USCERT_gov) March 6, 2021
Exchange Serverの被害の有無及び侵入について調査する場合には、「Microsoft IOC(侵入痕跡)検出ツール」を使い、過去の侵入の有無を調査すると良いでしょう。
「Microsoft IOC(侵入痕跡)検出ツール」は以下に公開されています。
https://github.com/microsoft/CSS-Exchange/tree/main/SecurityDownload Test-ProxyLogon.ps1
