Microsoft が推奨する安全な Exchange:月例パッチに加えて Extended Protection を適用

Microsoft: Exchange ‘Extended Protection’ needed to fully patch new bugs

2022/08/09 BleepingComputer — Microsoftによると、2022年8月の Patch Tuesday で対処された Exchange Server の欠陥の一部においては、攻撃を完全にブロックするために、影響を受けるサーバー上での拡張保護機能を、管理者が手動で有効にする必要があるとのことだ。今日、Microsoft は、野放し状態で悪用されている DogWalk ゼロデイ脆弱性や、特権昇格を可能にする Exchange の深刻な脆弱性 (CVE-2022-21980/CVE-2022-24477/CVE-2022-24516) などを含む、全体で 121件の欠陥にパッチを適用した。

これらの Exchange のバグを悪用するリモートの攻撃者は、フィッシング・メールやチャット・メッセージを介してターゲットを騙し、悪意のサーバーにアクセスさせた後に、低複雑度の攻撃により特権昇格を達成するという。

Exchange Server Team は、「実際に悪用されているケースは確認されていないが、ユーザー環境を保護するために、一連のアップデートを早急にインストールすることを推奨する」と警告している。

その一方で Microsoft は、脆弱なサーバーへの脅威アクターの侵入を阻止するためには、今日のセキュリティ更新プログラムを適用した後に、拡張保護 (EP) を有効にする必要があるとも述べている。

EP (Extended Protection) とは、Windows Server の認証機能を強化し、認証リレー攻撃や中間者攻撃のリスクを軽減する機能である。

火曜日に発表した勧告で Microsoft は、「この問題に対して脆弱なユーザーは、拡張保護を有効にして、攻撃を防ぐ必要がある。拡張保護 (EP) の有効化は、Exchange の特定バージョンでのみサポートされている点に注意が非通用だ。前提条件の完全なリストについては、このドキュメントを参照してほしい」と述べている。

Exchange Server Aug 2022 patches (Microsoft)


Microsoft が提供するスクリプトが利用して、この機能を有効にできるが、Exchange サーバーの設定を変更する前に、管理者は自身の環境を慎重に評価し、スクリプトのドキュメントに記載されている問題点を確認することが推奨される。

Microsoft は、複数の Exchange Server ビルドに対して、それぞれのセキュリティ更新プログラムを発行している。

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22 and CU23
  • Exchange Server 2019 CU11 and CU12

また、Microsoft は、3つの Exchange 脆弱性には、”Exploitation More Likely” というタグが付いているため、可能な限り早急にパッチを適用する必要があると付け加えている。

Microsoft は、「当社の分析により、この脆弱性を悪用するためのエクスプロイト・コードが、攻撃車により作成される可能性があることが分かった。さらに言うなら、この種の脆弱性が悪用された過去の事例を認識している。Exchangeは、攻撃者にとって魅力的な標的であるため、エクスプロイトが作成される可能性が高くなる。したがって、セキュリティ更新プログラムを確認し、自身の環境での適用可能性を確認したユーザーには、より優先的に対処してほしいと考えている」と述べている。

Exchange Server の運用を、よりセキュアにするための EP (Extended Protection) とのことです。文中にもあるように、Windows Server の認証機能を強化し、認証リレー攻撃や中間者攻撃のリスクが軽減されるとのことです。最近の Exchange に関する記事だけでも、Hive ランサムウェア BlackCat ランサムウェアによる攻撃が報告されています。また、脆弱性 ProxyLogon を悪用するマルウェア ShadowPad や、IIS エクステンションを悪用する Exchange バックドアの展開も観察されているようです。

%d bloggers like this: