2021 年 3 月に発覚した Exchange Server のゼロデイ攻撃ですが、思いのほか容易な方法で悪意ある実行が行えてしまうということで、マイクロソフトが大々的に警告を行っています。
特に今回は CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 という 4 つもの問題が同時期に悪用されるという厄介なものとなっています。
このサイトにも記載されていますが、実際の動作は Exchange のサーバー内にスクリプトを実行できる機能を構築し、その組織内のデータを抜き出してファイルサーバーなどにアップロードするというものとなっています。
今のところ Exchange Server 2013 以降の最新セキュリティ更新パックに対するパッチが提供されているため、以下 4 つのリンクにあるパッチを適用するようにしましょう。
サポートが終了した Exchange Server 2010 向けのパッチも用意されるようなので、影響の大きさが伺い知れますね。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
なお、パッチをすぐに当てられない場合のセキュリティ緩和策については、以下の内容を参照してください。
ただし、暫定的な回避策であり、すでに侵害されている場合は対策とならないため、可能な限りパッチ適用を行いましょう。
しかし、リリース後 10 年経ってもセキュリティホールは見つかるものですね。。。
今回の問題は、問題点が全くないソフトウェアを作ることの難しさが言い表されているような気がします。問題を駆逐するまで試験してから提供するか、問題が見つかったらすぐにパッチできるよう体制を整え、程度を見極めて提供を進めるか。という点では後者がより理にかなっているということでしょう。
Exchange Online は今回の問題は発生しないため、この機に乗り換えという選択も必要かもしれません。
いずれにせよ Exchange Server を利用されている方は早期に対応を進めていきましょう。
音楽:天魔鬼神