Microsoft: Outdated Exchange servers fail to auto-mitigate security bugs
2024/01/24 BleepingComputer — Microsoft によると、Office Configuration Service 証明書が廃止されるため、古い Exchange サーバは新しい緊急緩和を受信できなくなるとのことだ。この緊急緩和 (EEMS:Emergency Mitigations) は、3年前となる 2021年9月に導入された、Exchange Emergency Mitigation Service (EEMS) を通じて配信されるものだ。
EEMS は、リスクが高く積極的に悪用され得るセキュリティ上の欠陥に対して、暫定的な緩和を自動的に適用することで、オンプレミスの Exchange サーバを攻撃から保護する。付帯的に言うと、既知の脅威に対して脆弱な Exchange サーバを検出し、セキュリティ更新プログラムがリリースされるまでの間に、暫定的な緩和を適用していく。
EEMS は、Exchange メールボックス・サーバ上で、Windows サービスとして実行される。Exchange Server 2016/2019 に対して、2021年9月以降の累積更新プログラムを展開した、メールボックスの役割を持つサーバに対して、EEMS は自動的にインストールされる。
ただし、Exchange チームによると、EEMS が Office Configuration Service (OCS) に接続できなくなっているという。2023年3月以前の Exchange バージョンを実行している古いサーバに対して、新たな暫定セキュリティ緩和策をダウンロードできず、”Error, MSExchange Mitigation Service” イベントがトリガーされてしまう。
2025年1月24日の Exchange チームの発表には、「OCS における、古い証明書タイプの1が廃止される。新しい証明書は既に OCS に展開されているため、2023年3月以降の Exchange Server Cumulative Update (CU) もしくは Security Update (SU) で更新されたサーバは、引き続き新しい EEMS 緩和策をチェックできる」と記されている。
この発表には、「古いサーバを使用している場合には、可能な限り早急に更新してExchange サーバを有効化し直し、EEMS ルールをチェックすることで、メールのワークロードを保護してほしい。サーバを、常に最新の状態に保つことが重要である。Exchange Server Health Checker を実行すれば、行うべきことが分かるようになっている」と、付け加えられている。
国家に支援される APT や金銭目的のハッカーが、パッチや緩和が不足している ProxyLogon/ProxyShell ゼロデイを悪用し、Exchange サーバーに侵入したことで、この機能は追加された。
2021年3月には、少なくとも 10 のハッキング・グループが、ProxyLogon を悪用した。それらのグループには、Microsoft が Hafnium と呼ぶ、中国支援の APT グループが含まれる。
さらに Microsoft は 2023年1月に、最新のサポートされている Cumulative Update (CU) プログラムを適用し、オンプレミスの Exchange サーバへのパッチ適用し続けることで、緊急セキュリティ更新プログラムの展開に対して準備するよう顧客に促している。
Office Configuration Service 証明書の廃止により、古い Exchange サーバでは、新たな緩和が受信できなくなっているようです。Exchange サーバの更新により解消できる問題のようですので、ご利用のチームは、ご確認ください。よろしければ、Exchange で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.