United States Computer Emergency Readiness Team (US-CERT)は3月6日(米国時間)、「Microsoft IOC Detection Tool for Exchange Server Vulnerabilities|CISA」において、3月2日に公表されたExchange Serverの脆弱性に対する代替の緩和策をMicrosoftが公開したことを伝えた。該当する脆弱性はCVE-2021-26855などで、Microsoftでは対策が施された最新バージョンをリリースしているが、もし何らかの理由でアップデートが適用できない場合は、今回公開された緩和策を実施することが推奨される。

緩和策は次のページにまとめられている。

  • Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6、2021 – Microsoft Security Response Center

    Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center

ここに示されている緩和策は次の4つ。

  • IISの再書き込みルールを実装し、悪意のあるX-AnonResource-Backendおよび不正な形式のX-BEResource Cookieを含むHTTPSリクエストをフィルタする
  • ユニファイドメッセージングサービスを無効にする
  • Exchangeコントロールパネルのアプリケーションプールを無効にする
  • オフライン アドレス帳のアプリケーションプールを無効にする

今回公開された関連する脆弱性は4つあり、実際の攻撃は複数の脆弱性の組み合わせて行われることが確認されている。したがって、上記の緩和策は4つすべてを実施することが望ましい。また、Microsoftでは指定されたURLがCVE-2021-26855に対して脆弱であるどうかを検出するプログラムをGitHubリポジトリの次のページで公開している。

今回公開された緩和策はあくまでも最新版にアップデートするまでの暫定的な処置に過ぎない。CISAとMicrosoftは、対象となっているExchange Serverに対して早急に最新のアップデートを適用するように呼びかけている。