ゼロディ攻撃されたExchange Server脆弱性が修正。米国ではFBIが脅威を強制削除する事態に

このパッチの適用には新しいCUをあらかじめ適用しておく必要がある

　Microsoftは13日(現地時間)、メールやグループウェアを提供する「Exchange Server」に対し、4月のセキュリティアップデートを提供開始した。

　対象はExchange Server 2013/2016/2019だが、この適用には新しいCumulative Update(CU)を当てる必要があり、2013はCU23、2016はCU19およびCU20、2019はCU8およびCU9が必要となる。

　この脆弱性は共通脆弱性識別子「CVE-2021-28480/28481/28482/28483」で知られており、いずれもリモートでコードが実行されてしまうもの。1、2月にすでにゼロディ攻撃に使われていることが確認されたが、3月のセキュリティアップデートでは修正されなかった。Microsoft、および米CISAは直ちにこのパッチの適用を促している。

　米司法省によると、Microsoftは3月2日に脆弱性の詳細、検出ツール、パッチといった情報を発表したり、FBIとCISAが共同でこの脆弱性に関する警告を行なってきたりした。この取り組みの結果、感染されたシステムの所有者の多くは、すでにこの悪意のあるWebシェルを削除しているが、何百のシステムでまだ残っているのだという。

　そこで、FBIは米国のネットワークへの永続的な不正アクセスを防止するため、Webシェルを介してコマンドを発行して削除する強硬手段に出ている。これらの操作が行なわれたシステムの所有者に対してはFBIから電子メールアドレスで通知する仕組み。