マイクロソフト社、過去2年間のハッキング攻撃の中心となったExchangeメール・サーバー向けに、新しいセキュリティ機能を提供すると発表しました。
セキュリティはマイクロソフトとお客様にとって最優先事項であり、進化する規制へのコンプライアンスを確保しつつ、サイバー脅威からお客様のデータを安全に保つために懸命に努力を続けています。お客様のExchangeサーバーを保護するための継続的な取り組みの一環として、2021年9月のCU(Cumulative Update)では、Microsoft Exchange Emergency Mitigationサービスという新機能を追加しました。この新サービスは、Exchangeサーバーのセキュリティ更新プログラム(SU)をインストールする代わりになるものではありませんが、インターネットに接続されたオンプレミスのExchangeサーバーに適用されるSUをインストールする前に、最も高いリスクを軽減するための最速かつ最も簡単な方法です。
この新機能は「Microsoft Exchange Emergency Mitigation (EM)」サービスと呼ばれ、マイクロソフトが公式パッチをリリースできるようになるまで、セキュリティ上の脆弱性が積極的に利用されるのを阻止する一時的な対応策を自動的にインストールするものです。
EMサービスは、すべてのExchangeサーバーに2021年9月分の累積的更新プログラム(CU)をインストールすると、デフォルトで有効になります。
この機能はOffice Config Service(OCS)に接続し、以下のURLから対応策(XMLルールの形式)をダウンロードします。
officeclient.microsoft.com/getexchangemitigations
これらの対応策には、3種類の構成変更が含まれています。
- IIS URL Rewrite ルールの緩和:Exchange サーバーを危険にさらす可能性のある悪意のある HTTP リクエストの特定のパターンをブロックするルール
- Exchange サービスの緩和:Exchange サーバー上の脆弱なサービスを無効化するもの
- アプリプールの緩和:Exchange サーバー上の脆弱なアプリプールを無効にするもの
マイクロソフトは、新たな攻撃を検知するとEMを介して一時的な緩和策を世界中のすべてのExchangeサーバーにプッシュし、ソフトウェアパッチの作成を開始します。
Microsoft社のExchangeチームは「将来的には緩和策がいつでもリリースされる可能性があるため、EMサービスが1時間ごとに緩和策をチェックすることにしました」と述べています。
セキュリティの高い環境に設置されているExchangeサーバーに対しては、EMサービスを無効にして、管理者が手動またはExchange On-premises Mitigation Tool(EOMT)を使用して緩和策を適用する方法も提供しています。
EMサービスを無効にする方法は、このドキュメントページに記載されています。
EMサービスは、恒久的な修正プログラムが利用可能になるまで、ソフトウェアアプリケーションに一時的な修正プログラムを自動的に展開することができるセキュリティ機能の1つです。
Comments