独立行政法人情報処理推進機構(IPA)は3月3日、Microsoft Exchange Server の脆弱性対策について発表した。影響を受けるシステムは以下の通り。Microsoft Exchange Server 2010(多層防御の観点での修正)Microsoft Exchange Server 2013Microsoft Exchange Server 2016Microsoft Exchange Server 2019Microsoft 社は日本時間3月3日に限定的な標的型攻撃に使われたMicrosoft Exchange Server 製品に関する脆弱性の修正プログラムを定例外にて公開、これらの脆弱性を悪用された場合、攻撃者にパソコンを制御される等の様々な被害が発生するおそれがある。特に、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 の脆弱性について、Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大するおそれがある。Microsoft 社では、まず外部ネットワークに接続している Exchange Server に対しセキュリティ更新プログラムを優先的に適用し、その後、他のすべての Exchange Server に対しても同様にセキュリティ更新プログラムを適用することを推奨している。
CMS Made Simple において遠隔から任意のコード実行が可能となる Server Side Template Injection の脆弱性(Scan Tech Report)2021.3.2 Tue 8:15
