Security Affairsは2月21日(現地時間)、「Microsoft Exchange flaw CVE-2024-21410 could impact up to 97,000 servers」において、Microsoft Exchange Serverの緊急の脆弱性「CVE-2024-21410」を修正していないインターネットに接続されたサーバが約28,500台存在すると報じた。これら脆弱なサーバの多くはドイツとアメリカに存在するとみられている。なお、脆弱性と対策は、「Microsoft Exchange Serverに緊急の脆弱性、アップデートを | TECH+(テックプラス)」から確認可能。
脆弱なMicrosoft Exchange Server
Microsoft Exchange Serverの緊急の脆弱性「CVE-2024-21410」は、すでに悪用が確認されている特権昇格の脆弱性。攻撃者はリモートからNTLMリレー攻撃を行うことでクライアントの特権を昇格させ、Exchangeサーバ上で任意の操作を実行できる。
Shadowserverの研究者は2月17日時点において、約97,000台の脆弱な可能性のあるインターネットに接続されたMicrosoft Exchange Serverを特定。これらサーバのうち、約28,500台がCVE-2024-21410に対して脆弱であることが確認されたとしている。なお、残りの約68,500台は脆弱なバージョンではあるが、Microsoftの提示する緩和策が適用されている可能性があるという。
脆弱な可能性のあるサーバを含めた約97,000台のうち、上位5カ国は次のとおり。なお、日本は2024年2月17日時点で120台と報告されている。
- ドイツ - 25,695台
- アメリカ - 21,997台
- イギリス - 4,130台
- オランダ - 3,505台
- フランス - 3,381台
対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は悪用が確認されたとして「CVE-2024-21410」を既知の脆弱性カタログに追加している(参考:「CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA」)。
Microsoftは2月13日(15日に更新)(米国時間)、「CVE-2024-21410 - Security Update Guide - Microsoft - Microsoft Exchange Server Elevation of Privilege Vulnerability」において、脆弱性を修正するアップデートを公開した。Microsoft Exchange Serverを運用する管理者は、影響を確認して速やかにアップデートすることが望まれている。