Microsoft Exchange Serverへのゼロディアタック

Microsoft Exchange Serverがゼロディアタックされ、2万アカウントを超えるメールアカウントが不正に操作され、メールの閲覧、送信などの不正操作が行われていました。

この件についてワシントンポストなどメディア各社が一斉に報じていますので、詳細は割愛し、MSから出ている更新プログラムと過去の侵入調査ツールが公開しておきますので、備忘録としてこちらの記事に張り付けておきます。

Microsoft Exchange Server 脆弱性に対する更新プログラム

もし、Exchange Serverを運用しているのであれば、早急に更新プログラムの適用と侵入の調査を実施されることをお奨めします。

3月2日時点で「Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871) 外部リンク」とし、Microsoftより更新プログラムが配布されています。

更新プログラムは、”Windows Update”より入手することができ、自動更新を有効にしている場合は、自動的にダウンロードし、インストールされます。

その他の入手方法は、「Microsoft カタログ」「Microsoft ダウンロードセンター」から入手することができます。

Microsoft カタログ

http://www.catalog.update.microsoft.com/Search.aspx?q=KB5000871

Microsoft ダウンロードセンター

Microsoft IOC(侵入痕跡)検出ツール

自社のExchange Serverへの侵入を調査する場合は「Microsoft IOC(侵入痕跡)検出ツール」が公開されています。US-CERTでもツイートしていますので、↓に張り付けておきます。

Exchange Serverの被害の有無及び侵入について調査する場合には、「Microsoft IOC(侵入痕跡)検出ツール」を使い、過去の侵入の有無を調査すると良いでしょう。

「Microsoft IOC(侵入痕跡)検出ツール」は以下に公開されています。

https://github.com/microsoft/CSS-Exchange/tree/main/SecurityDownload Test-ProxyLogon.ps1