Microsoftによると、Office Configuration Serviceの証明書タイプが廃止されるため、古いExchangeサーバーは新しい緊急緩和定義を受け取ることができない。
緊急緩和(EEMS緩和とも呼ばれる)は、3年前の2021年9月に導入されたExchange緊急緩和サービス(EEMS)を介して提供される。
EEMS は、オンプレミスの Exchange サーバーを攻撃から保護するために、リスクの高い(そして積極的 に悪用される可能性の高い)セキュリティ欠陥に対する暫定的な緩和策を自動的に適用します。EEMS は既知の脅威に対して脆弱な Exchange サーバーを検出し、セキュリティ更新プログラムがリリースされるまで暫定的な緩和策を適用します。
EEMSはExchangeメールボックスサーバーのWindowsサービスとして実行され、Exchange Server 2016またはExchange Server 2019で2021年9月(またはそれ以降)の累積アップデートを展開した後、メールボックスの役割を持つサーバーに自動的にインストールされる。
しかし、Exchange Teamによると、EEMSは2023年3月より古いExchangeバージョンを実行している古いサーバー上で、Office Configuration Service(OCS)に「連絡できず」、新しい暫定的なセキュリティ緩和策をダウンロードできず、代わりに「Error, MSExchange Mitigation Service」イベントが発生する。
「OCS の古い証明書タイプの 1 つが非推奨になりました。新しい証明書はすでにOCSに導入されており、2023年3月より新しいExchange Server累積的更新プログラム(CU)またはセキュリティ更新プログラム(SU)に更新されたサーバーは、引き続き新しいEEMS緩和策をチェックすることができます。
「お使いのサーバーが非常に古い場合は、早急にサーバーを更新して電子メールのワークロードを保護し、Exchangeサーバーを再度有効にしてEEMSルールをチェックしてください。サーバーを常に最新の状態に保つことが重要です。Exchange Server Health Checkerを実行すれば、常に何をすべきかを教えてくれます
この機能が追加されたのは、国家に後援され、金銭的な動機に基づくハッカーが、パッチや緩和情報がないProxyLogonとProxyShellzero-days を悪用して Exchange サーバーに侵入したためです。
2021年3月には、マイクロソフトによってHafniumとして知られている中国の脅威グループを含む、少なくとも10のハッキンググループがProxyLogonを悪用した。
マイクロソフトはまた、2年前の2023年1月にも、サポートされている最新の累積的更新プログラム(CU)を適用し、オンプレミスのExchangeサーバーにパッチを適用して、緊急のセキュリティ更新プログラムをいつでも導入できるようにしておくよう顧客に呼びかけている。
Comments