どのくらいの企業が即座にMicrosoft Exchange Serverのセキュリティ更新を適用したのか

By 
Mar 25, 2021
1 minutes
... views
Must-Read Articles
視点
Attack Surface
attack surface management platform
Expanse
microsoft exchange server
Patch Management
vulnerabilities
zero-days

Microsoft Exchange Serverの4つのゼロデイ脆弱性とそれらを悪用する攻撃が公になり、その影響範囲がどれほどのものかと疑問に思われたかたも多いことでしょう。たとえば、このMicrosoft Exchange Server攻撃に対し、脆弱な組織はどのぐらいあるのか、攻撃者に利用される可能性はどのくらいあるのか、このニュースでどのくらいの企業が即座にMicrosoft Exchange Serverのセキュリティ更新を適用したのか、といったことです。最近パロアルトネットワークスが買収したExpanseは、攻撃対象領域管理用のプラットフォームで、まさにこうした疑問に答えてくれるテレメトリを収集しています。

インターネットは狭い

15年前なら、インターネットにデバイスをうっかり向けてしまっても、数か月、ひょっとすると数年くらい、攻撃者はそれに気付かないでいてくれたかもしれません。ですがいまは事情がちがいます。彼らは日々皆さんの攻撃対象領域をじっくり検分していますから、IPv4空間内のどんな公開IPアドレスとでも、誰でもダウンロードできるオープンソースソフトウェアを使い、ものの数時間で通信してしまいます。修正プログラムの適用されていないシステムや、構成の誤りや、ついうっかりインターネットにさらしてしまったものは、あっというまに発見されてしまうでしょう。インターネットは狭いのです。

これが、修正プログラムの適用を急がなければならない理由です。げんに、3月9日頃に出回りはじめたDearCryランサムウェアなどは、Microsoft Exchange Mail Serverで新しく開示された脆弱性を使い、組織側に対応されてしまう前に手ばやく稼ごうとしていました。

どのくらいの企業が即座にMicrosoft Exchange Serverのセキュリティ更新を適用したのか

Expanseは、インターネットからアクセス可能な全デバイスの情報を継続的に収集しています。そこで自社プラットフォームを使い、公開済みかつ外からアクセス可能なMicrosoft Exchange Serverの総数を調べ、さらにそのなかで脆弱なサーバーの総数を確認してみました。3月8日と3月11日になか3日あけて収集した情報を比べることで、脆弱なMicrosoft Exchange Serverの総数だけでなく、組織がどのぐらいすばやく修正プログラムを適用したのかについてのデータも得られました。

攻撃対象領域管理プラットフォームであるExpanseは、組織がMicrosoft Exchange Serverにどのぐらいすばやく修正プログラムを適用したかを確認できるデータを収集しました。修正プログラムが適用されていないサーバー数は、3月8日には125,000台だったのが、3月11日には80,000台に減少しました。このマップは、3月11日時点で、調査対象国で修正の済んでいないサーバー数がどのぐらいあったのかを青いドットで示しています。修正プログラムが適用されていないExchange Serverが最も多かった国は、20,000台の米国でした。ドイツは11,000台、英国は4,900台、フランスは4,000台、イタリアは3,700台、ロシアは2,900台、カナダは2,700台、スイスは2,500台、オーストラリアは2,200台、中国は2,100台、オーストリアは1,700台、オランダは1,600台となっています。
攻撃対象領域管理プラットフォームであるExpanseは、組織がMicrosoft Exchange Serverにどのぐらいすばやく修正プログラムを適用したかを確認できるデータを収集しました。修正プログラムが適用されていないサーバー数は、3月8日には125,000台だったのが、3月11日には80,000台に減少しました。このマップは、3月11日時点で、調査対象国で修正の済んでいないサーバー数がどのぐらいあったのかを赤いドットで示しています。修正プログラムが適用されていないExchange Serverが最も多かった国は、20,000台の米国でした。ドイツは11,000台、英国は4,900台、フランスは4,000台、イタリアは3,700台、ロシアは2,900台、カナダは2,700台、スイスは2,500台、オーストラリアは2,200台、中国は2,100台、オーストリアは1,700台、オランダは1,600台となっています。

この結果、修正プログラムの適用スピードはきわめて速く、わずか3日で36%が修正していたことがわかりました。FireEyeの開示から修正の公開、悪用までの時間についてのデータでは、以前の修正プログラム適用までの平均時間は9日でした。ただし、修正プログラムを適用したからといって安全であるとはかぎりません。修正プログラムの公開にさきだち、インターネット上ではすでに広く、複数の脅威アクターによるExchange Serverへの多数のゼロデイ攻撃が観察されていました。ですから攻撃とエクスプロイトはすでに行われているものと仮定してかからなければいけません。なお、さまざまな攻撃シナリオに対応して受けたかもしれない影響を判断する手順については、Unit 42が公開した「Microsoft Exchange Serverの脆弱性の修復手順」が詳しいのでそちらに譲ります。

攻撃者目線で攻撃対象領域を理解することが重要です。先の統計は「すべての修正プログラム未適用の公開済みExchangeメールサーバー」についてのデータですが、この数字がそのまま企業が把握済みの影響台数と早合点してはいけません。企業にはたとえば、買収先の資産や海外拠点の資産、IT資産の管理もれ、シャドーITなど、把握しきれないメールサーバーなどが存在することがめずらしくありません。攻撃ベクトルは多いですし、防御にさけるリソースも有限です。ですから、「どこがいちばん重要なエントリポイントで、どうやって攻撃対象領域を減らしていくか」は、スマートにかつデータに裏打ちされたやりかたで、優先順位を付けてやっていく必要があると覚えておかねばなりません。

攻撃対象領域を理解するには

いまほど組織の攻撃対象領域があちこちに散らばっている時代もありません。組織では、こうした資産の種別をすべて識別し、追跡し、管理してやる必要があります。次から次にやってくる緊急事態に綱渡りで対応しつづけるのはとても無理ですから、なにかしら新しいプレイブックが必要になります。

そのためにはまず何をすればよいのでしょうか。組織の攻撃対象領域の理解から、です。発見とマッピングプログラムは基本のキから始める必要があります。

  • 自組織が所有するすべての資産、システム、サービスのうち、インターネットにむけて公開されているものの全資産を記録してくれるシステムを持つ。
  • すべての主要ポート・プロトコルペアにまたがる包括的インデックスを作成する(要するに、HTTPとHTTPS Webサイトのみの追跡という古い発想にはとらわれてはいけません)。
  • アトリビューション用に複数のデータソースを活用する(要するに登録とDNSデータだけにとどめてはいけません)。
  • エージェントには依存しない(エージェントでは未知のインターネット資産を見つけられないためです)。
  • 継続的に更新できる(要するに2週間に1度しか更新されないようなものではいけません)。

あわせて、こちらのMicrosoft Exchange Serverのエクスプロイトへの対応も参考にしてください。

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Must-Read Articles, Use Cases

何年も前の脆弱性を攻撃者が悪用できるのは、ユーザーに原因がある

CSO Perspective, Cybersecurity, 視点

サイバー防術のススメ

Secure the Enterprise, Secure the Future, 視点

2023年の脅威動向ふりかえり

Products and Services, 視点

2023 年版 Unit 42 アタックサーフェス脅威レポート: ASM の必要性が鮮明に

Cybersecurity, 視点

Cybersecurity Awareness Month に考える、セキュリティトランスフォーメーションとセキュリティ人材の未来

視点

企業がAI活用時に考慮すべきセキュリティリスク

How Quickly Are We Patching Microsoft Exchange Servers?

By 
Mar 14, 2021
4 minutes
... views
Must-Read Articles
Points of View
Attack Surface
attack surface management platform
Expanse
microsoft exchange server
Patch Management
Vulnerabilities
zero-days

As the world learned about the four zero-day vulnerabilities in Microsoft Exchange Server and the attacks that exploited them, many people wondered how widespread the effects would be. How many organizations are vulnerable to the Microsoft Exchange Server attacks? How likely is it that attackers will take advantage? How quickly are organizations responding to the news and patching Microsoft Exchange Servers? Expanse, a recent Palo Alto Networks acquisition, which provides an attack surface management platform, collected telemetry to answer those questions.

The Internet is Tiny

Fifteen years ago, if you accidentally exposed a device on the Internet, it might go unnoticed by attackers for months or even years. Things are different today – attackers scrutinize your attack surface daily. With open source software anyone can download, an attacker can communicate with every public-facing IP address in IPv4 space in hours. Any unpatched system, misconfiguration or accidental exposure is likely to be discovered very quickly. The internet is tiny.

This is why it’s crucial to apply patches promptly – new attacks such as the DearCry ransomware that began circulating around March 9 seek to take advantage of newly disclosed vulnerabilities in Microsoft Exchange Mail Servers to turn a quick profit before organizations have a chance to respond to them.

How Quickly are Organizations Patching Microsoft Exchange Servers?

Expanse continuously gathers information on all Internet accessible devices, and we used our platform to find the total volume of publicly accessible Microsoft Exchange Servers and the subset of servers that were vulnerable. Comparing information gathered three days apart – March 8, and then again on March 11 – allowed us to see not only how many Microsoft Exchange Servers were vulnerable but also to glean some data about the pace at which organizations applied patches.

Expanse, an attack surface management platform, gathered data to determine how quickly organizations are patching Microsoft Exchange Servers. The number of unpatched servers dropped from 125,000 on March 8 to 80,000 on March 11. The map shows blue dots indicating the quantity of unpatched servers in the countries surveyed as of March 11. Countries with the most unpatched Exchange Servers were the US with 20,000; Germany with 11,000; the UK with 4,900; France with 4,000; Italy with 3,700; Russia with 2,900; Canada with 2,700; Switzerland with 2,500; Australia with 2,200; China with 2,100; Austria with 1,700; and the Netherlands with 1,600.

Our results show that patch rates are lightning fast – 36% in just three days. From FireEye data on the time between disclosure, patch release and exploitation, we know that in the past the average time to patch was nine days. But patching does not mean you’re safe – assume exploitation as a result of this attack, as threat actors were observed widely launching zero-day attacks against very high numbers of Exchange Servers across the internet before a patch was released. (For information about how to handle various scenarios and determine impact on your organization, see Unit 42’s “Remediation Steps for the Microsoft Exchange Server Vulnerabilities.”)

It’s important to understand your attack surface from the attacker's perspective. The statistics above represent all publicly facing unpatched Exchange Mail Servers – but this does not mean the affected customers know about them. Acquisitions, foreign subsidiaries, and forgotten or rogue IT often mean enterprises miss outstanding assets, including email servers. With so many attack vectors and limited resources to defend them, it’s crucial that organizations understand where the critical entry points are and how they can prioritize attack surface area reduction in a smart, data-driven way.

How to Understand Your Attack Surface

The attack surface area of an organization has never been more distributed than it is today. Organizations have to identify, track and manage more asset types across different locations than ever before. It won’t work to jump from emergency to emergency – you need a new playbook.

The first step? Understand your attack surface. A discovery and mapping program should start with the basics:

  • A system of record of every asset, system and service you own that is on the public internet.
  • Comprehensive indexing, spanning all major port/protocol pairs (i.e., not limited to the old perspective of only tracking HTTP and HTTPS websites).
  • Leverage multiple data sources for attribution (i.e., not just registration and DNS data).
  • No reliance on agents (which can’t find unknown internet assets).
  • Continuous updating (i.e., not a two-week refresh rate).

Read our response to the Microsoft Exchange Server exploit.

 

Related Blogs

Our library of online content is here to help you learn more, no matter what format you prefer or which topic interests you most.

Must-Read Articles, Product Features

A CXO’s Guide to Attack Surface Management

Must-Read Articles, Points of View

Cortex Xpanse Researchers Identify Missing Metric for a Modern SOC

Must-Read Articles, Points of View

Attackers Won't Stop With Exchange Server. You Need a New Playbook

Points of View, Products and Services

Palo Alto Networks and Coordinated Enforcement for Malware

Must-Read Articles

Cybersecurity and Attack Surface Lessons from the Death Star

Must-Read Articles, Use-Cases

Why Do Our Adversaries Prey on Years-Old Vulnerabilities? Because You Let Them

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.

By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.

Get the latest news, invites to events, and threat alerts