United States Computer Emergency Readiness Team (US-CERT)は、「Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities|CISA」において、Exchange Serverの脆弱性の影響を軽減するために、2021年4月のセキュリティ更新プログラムを早急に適用するように強く呼びかけている。
Microsoft Exchange Serverの脆弱性には、悪用されると対象ホストへのアクセス権が不正に取得されて、マルウェアを仕込まれるなど後続の攻撃に利用される危険性がある。影響のある具体的な脆弱性としてはCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065の4つが報告されている。
これらの脆弱性に対し、2021年3月に修正のためのセキュリティ更新プログラムがリリースされているが、オンプレミスのExchange Server 2016、2019、および2021に影響を与える追加の脆弱性が報告され、4月のセキュリティ更新プログラムで追加修正された形になる。したがって、追加の脆弱性に関しては2021年3月のセキュリティ更新プログラムでは修正されないため注意が必要だ。
この追加の脆弱性およびセキュリティ更新プログラムに関して、Cybersecurity and Infrastructure Security Agency (CISA)ではセキュリティアラート「Alert (AA21-062A): Mitigate Microsoft Exchange Server Vulnerabilities」にガイダンスを追加した。
Alert (AA21-062A): Mitigate Microsoft Exchange Server Vulnerabilities | CISA
セキュリティアラートAA21-062Aの2021年4月13日追加部分
それに加えて、関連機関向けに発行済みの緊急指令「ED21-02: Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」に関しても、補足指示のバージョン2を発行した。この補足指示では、Microsoft Updateを利用して、期限内に2021年4月のセキュリティ更新プログラムを適用することなどが含まれている。
Emergency Directive 21-02 - Supplemental Direction v2