Microsoft Exchange Serverの脆弱性を修正する更新プログラムの適用をまだ行っていないのであれば注意が必要だ。このほど、セキュリティ研究者がMicrosoft Exchange Serverに存在する脆弱性CVE-2021-28482に関する概念実証(PoC: Proof of Concept)を公開したのだ。このPoCはセキュリティ研究者らの活動に寄与することになるが、サイバー犯罪者に有益な情報を与えることにもなり得る。
公開された概念実証は次のページに掲載されている。
-
https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bda
Microsoft Exchange Serverには次の4つの脆弱性が存在することが発表されており、2021年4月の更新プログラムでこれら脆弱性は修正されている。
- CVE-2021-28480 - Security Update Guide - Microsoft - Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28481 - Security Update Guide - Microsoft - Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28482 - Security Update Guide - Microsoft - Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-28483 - Security Update Guide - Microsoft - Microsoft Exchange Server Remote Code Execution Vulnerability
これら脆弱性に関するPoCはこれまで何度か公開されているが、公開後にPoCをベースにしたと見られるサイバー攻撃が確認されている。該当する脆弱性に関しては更新プログラムが公開されていることから、該当するプロダクトを使用している場合は迅速に適用することが望まれる。
Chromeで拡張機能使っているなら要確認、260万人に認証情報窃取のリスク
