Exchange

マイクロソフトは、自動的にスロットリングを開始し、管理者が保護するために ping を実行してから 90 日後に「永続的に脆弱な Exchange サーバー」から送信されたすべての電子メールを最終的にブロックする、新しい Exchange Online セキュリティ機能を導入しています。

レドモンドが説明するように、これらはオンプレミスまたはハイブリッド環境の Exchange サーバーであり、サポートが終了したソフトウェアを実行しているか、既知のセキュリティ バグに対するパッチが適用されていません。

「サポートが終了した Exchange サーバー (Exchange 2007、Exchange 2010、間もなく Exchange 2013 など)、または既知の脆弱性に対するパッチが適用されていない Exchange サーバー」と Exchange チームは説明しています。

「たとえば、セキュリティ更新が大幅に遅れている Exchange 2016 および Exchange 2019 サーバーは、持続的に脆弱であると見なされます。」

マイクロソフトによると、この新しい Exchange Online の「トランスポート ベースの施行システム」には、レポート、スロットリング、およびブロックという 3 つの異なる機能があります。

新しいシステムの主な目標は、Exchange 管理者がパッチが適用されていない、またはサポートされていないオンプレミスの Exchange サーバーを特定し、セキュリティ リスクになる前にアップグレードまたはパッチを適用できるようにすることです。

ただし、Exchange Online メールボックスに到達する前に修復されていない Exchange サーバーからの電子メールを抑制し、最終的にはブロックすることもできます。

この新しい強制システムは、Exchange Server 2007 を実行しているサーバーにのみ影響を与えます。これは、オンプレミス コネクタを使用してメールを送信し、Exchange Online への接続方法に関係なく、すべての Exchange バージョンに拡張する前に微調整できるようにするためです。

レドモンドは、脆弱なサーバーから送信されたすべての電子メールが拒否されるまで、スロットリングを徐々に増やし、電子メールのブロックを導入するように設計された進歩的なアプローチに従っていると述べています。

これらの施行アクションは、脆弱な Exchange サーバーがサービスから削除される (サポート終了バージョンの場合) か、パッチが適用される (まだサポートされているリリースの場合) ことによって修正されるまで、ゆっくりとエスカレートするように設計されています。

プログレッシブ Exchange Online 施行システム
プログレッシブ Exchange Online 施行システム (Microsoft)

「私たちの目標は、お客様がどこで Exchange を実行することを選択しても、環境を保護できるようにすることです」とExchange チーム は述べています

「施行システムは、環境内のセキュリティ リスクについて管理者に警告し、永続的に脆弱な Exchange サーバーから送信される潜在的に悪意のあるメッセージから Exchange Online の受信者を保護するように設計されています。」

一部の管理者にとって、環境内の脆弱なサーバーから Exchange Online メールボックスに送信された電子メールが自動的にブロックされないようにすることは、エンドユーザーを潜在的な攻撃から保護し続けるための継続的な取り組みに追加される別の「インセンティブ」になる可能性があります。

この発表は、Microsoft が 1 月に行ったアクション トゥ アクションに続くもので、Microsoft は、サポートされている最新の累積更新プログラム (CU) を常に適用してオンプレミスの Exchange サーバーを最新の状態に保ち、緊急のセキュリティ更新プログラムの受信に備えておくようお客様に促しました

Microsoft はまた、公式のパッチがリリースされる数か月前に、攻撃で悪用された ProxyLogon の脆弱性に対処するために緊急の帯域外セキュリティ更新プログラムを発行した後、できるだけ早く Exchange サーバーに最新のパッチを適用するよう管理者に依頼しました。

最近では、Microsoft が ProxyNotShell として知られる Exchange RCE の別のバグ セットにパッチを適用しました。これは、エクスプロイトが実際に最初に検出されてから 2 か月後のことです。

Shodan の検索では、依然として膨大な数の Exchange サーバーがインターネットに公開されており、 2021 年に最も悪用された脆弱性の 2 つである ProxyLogon と ProxyShell のエクスプロイトを使用した攻撃から保護されるのを待っているサーバーが数千台あります。