マイクロソフトは3月3日(日本時間)、ビジネス向けメール・予定管理サービス「Microsoft Exchange Server」製品の脆弱性に対して、セキュリティ更新プログラムを定例外で公開しました。独立行政法人情報処理推進機構(IPA)も注意を呼びかけています。
対象となるソフトウェアは、「Microsoft Exchange Server 2019」「Microsoft Exchange Server 2016」「Microsoft Exchange Server 2013」「Microsoft Exchange Server 2010 (多層防御の観点での修正)」で、脆弱性を悪用された場合、攻撃者によって管理者権限を奪われ、外部から不正に制御されるなどの可能性があります。
すでにこの脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)を悪用した標的型攻撃が確認されており、今後被害が拡大するおそれがあります。各製品を利用しているシステムの管理者は、マイクロソフトから提供された修正プロフラムを至急適用してください。すぐに適用するのが難しい場合は、Exchangeサーバに対して信頼できない接続を制限する、Exchangeサーバを外部アクセスから分離するためにVPNを設定するなど、提示されている回避策を導入するとともに、修正プログラム適用のための調整を迅速に進めてください。
なお、Exchange Onlineは本脆弱性の影響を受けないとのことです。
Copyright © 2023 Trend Micro Incorporated. All rights reserved.