United States Computer Emergency Readiness Team (US-CERT)は3月25日(米国時間)、「Webshells Observed in Post-Compromised Exchange Servers |CISA」において、Microsoft Exchange Serverの脆弱性についてまとめたアラートに、新しく2つのマルウェア分析レポートへのリンクを追加したと伝えた。アップデートされたアラートは次のページにまとまっている。
今回のアップデートでは、上記のアラートに次の2つのマルウェア分析レポートへのリンクが追加されている。
サイバー攻撃者はMicrosoft Exchange Serverの脆弱性を悪用してサーバにアクセスした後、Webシェルをインストールして遠隔から操作できるようにすることがわかっている。新しく追加されたマルウェア分析レポートは新たに見つかったWebシェルに関する情報をまとめたもの。アラートで指摘されているWebシェルが、今回のサイバー攻撃で使われているすべてのWebシェルというわけではないが、Exchange Serverが侵入を受けているかどうか調べる上で役立つ情報となっている。
Cybersecurity and Infrastructure Security Agency (CISA)はユーザおよび管理者に対して次のリソースをチェックすることを推奨している。
- Mitigate Microsoft Exchange Server Vulnerabilities | CISA
- MAR-10328877-1.v1: China Chopper Webshell | CISA
- MAR-10328923-1.v1: China Chopper Webshell | CISA
- MAR-10329107-1.v1: China Chopper Webshell | CISA
- MAR-10329297-1.v1: China Chopper Webshell | CISA
- MAR-10329298-1.v1: China Chopper Webshell | CISA
- MAR-10329301-1.v1: China Chopper Webshell | CISA
- MAR-10329494-1.v1: China Chopper Webshell | CISA
- MAR-10329499-1.v1: China Chopper Webshell | CISA
- MAR-10329496-1.v1: China Chopper Webshell | CISA
- Remediating Microsoft Exchange Vulnerabilities | CISA
- Ransomware | CISA
今回のMicrosoft Exchange Serverの脆弱性に関してはUS-CERTや世界中のセキュリティファームやセキュリティ研究者らから毎日のように新しい情報が発表される状況が続いている。簡単に悪用できる上に影響が大きいことから注目を集めている。