United States Computer Emergency Readiness Team (US-CERT)は3月2日(米国時間)、「Microsoft Releases Out-of-Band Security Updates for Exchange Server|CISA」において、Microsoft Exchange Serverに複数の脆弱性が存在し、Microsoftがセキュリティ更新プログラムをリリースしたことを伝えた。
これらの脆弱性を攻撃者によって悪用されると、影響を受けるシステムの制御権が乗っ取られたり、機密情報にアクセスされたりするなどの被害を受ける危険性があるという。
該当の脆弱性およびセキュリティ更新プログラムに関する情報は、Microsoft Security Response Centerの次の投稿にまとめられている。
今回の更新プログラムには、既に攻撃への悪用が確認されている次の4つの脆弱性に対する修正が含まれている。
- CVE-2021-26855: サーバサイドリクエストフォージェリ(SSRF)の脆弱性
- CVE-2021-26857: ユニファイドメッセージングサービスの安全でないデシリアライズの脆弱性
- CVE-2021-26858: 認証後の任意のファイル書き込みの脆弱性
- CVE-2021-27065: 認証後の任意のファイル書き込みの脆弱性
CVE-2021-26855とCVE-2021-26857は、いずれも攻撃者によるサーバ上での任意のコード実行を可能にする。CVE-2021-26858およびCVE-2021-27065では、攻撃者はExchange Serverの任意のパスにファイルを書き込むことができる。ファイル書き込みのためには攻撃者が対象のExchange Serverで認証を取得している必要があるが、CVE-2021-26855のSSRFの脆弱性を利用することで管理者権限の認証を取得することができるという。
実際に行われた攻撃では、攻撃者はまず不正に取得したアクセス権を使ってExchange Serverにアクセスし、続いてシェルを実行して対象をリモートから制御できるようにする。その上で、このリモートアクセスを利用してターゲットとなった組織から情報の盗み出しを行っていたとのことだ。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおりとなっている。Exchange Onlineについては影響を受けないとのこと。
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019