2021年 3月 2日、Microsoft Exchange に影響を及ぼすゼロデイ脆弱性が公開されました。これらの脆弱性を、国家の脅威活動家と考えられるハフニウムが積極的に悪用しています。
CISA の通知では、次のように説明しています。
「マイクロソフトは、 Microsoft Exchange Server 2013、 2016、 2019 に影響する脆弱性に対処するために、帯域外のセキュリティ更新プログラムをリリースしました。リモート攻撃者は、影響を受けたシステムを制御するために 3つのリモートコード実行の脆弱性である CVE-2021-26857、CVE-2021-26858 および CVE-2021-27065 を悪用したり、機密情報にアクセスするために、脆弱性 CVE-2021-26855 を悪用する可能性があります。現在、これらの脆弱性を、積極的に悪用する活動が確認されています。」
関連するセキュリティスキャンを実行して、攻撃者がシステム内に存在するかどうかを確認する一方、組織にはオンプレミスの Exchange Server にパッチを適用するように CISA は、緊急指令を発行しました。
ソフォスのお客様は何をすべきですか?
Sophos MTR チームは、お客様のネットワークで感染を示唆する兆候を検索する方法について、詳細な手順を公開しています。
幸いなことに、Sophos MTR、ネットワーク、およびエンドポイントのお客様は、新しい脆弱性の悪用に対して複数の保護を提供しています。
これらの保護の多くについて書かれたソフォスニュースの記事が公開されました。
- ハフニウムをブロックした関連 AV シグネチャ、およびそのシグネチャがトリガーされた場合の対処方法についてのアドバイス
- Sophos EDR のお客様が、調査に向けて潜在的な Webシェルを特定するために実行するクエリ
- Sophos Firewall のお客様向けの IPS シグネチャ
MTR のお客様には、問題やお客様の保護を維持するために MTR が何を行うかの概要について複数のセキュリティの勧告をすでに送っています。
Sophos MTR (Managed Threat Response) と Rapid Response
組織は、過去数日間にわたり、ソフォスが公開を検証できるサービスについて、より多くの情報を求めてきました。Sophos MTR Advanced は、ハフニウムのような高度な攻撃に対して保護し続ける理想的なソリューションです。
既存の MTR のお客様は、MTR がネットワーク内にある関連アクティビティを迅速に検索していたのを知っているので、安心できます。
MTR 以外のお客様に、もし関連した悪意のあるアクティビティを経験している兆候が見られる場合は、すぐに Sophos Rapid Response チームに連絡することをお勧めします。
