マイクロソフトは、使用された脆弱性に対処するために、Microsoft Exchange Server のセキュリティ更新プログラムを 2021 年 3 月 2 日にリリースしました。
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
重要:
- この攻撃で使用されたバイナリの 1 つのカバレッジは、Extra.DAT が添付された状態でカバーされます。
製品での使用については、「関連情報」フィールドを参照してください。
- 記事の公開時点で、McAfee はマイクロソフトがリリースした残りのハッシュのカバレッジを確認できません。
- LSASS プロセス ダンプは、現在の DAT で Lsass-Mdump(望ましくない可能性のあるプログラム)として検出されます。
エクスプロイト防止 / HIPS カバレッジ:
CVE-2021-26855 - 解析中
CVE-2021-26857 - シグネチャ 6195 でカバーされる予定
CVE-2021-26858 - 解析中 (追加情報が必要です)
CVE-2021-27065 - 解析中 (追加情報が必要です)
Network Security Platform:
Network Security 緊急 ユーザー定義シグネチャ (UDS) がリリースされました。これには、 CVE-2021-26855 および CVE-2021-26857 の適用範囲が含まれています。
詳細およびシグネチャのダウンロードについては、
KB94271 - 登録済み - NSP 緊急 UDS リリース ノート - 複数の脆弱性に対する UDS を参照してください。
McAfee Insights:
キャンペーンは、次を検索して見つけることができます : HAFNIUM Threat Group によるゼロデイ エクスプロイトの標的となった Exchange Server
McAfee EDR:
A real-time search of selected
IoCs can be done with a search as described below:
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0" or Files sha256 equals "097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e" or Files sha256 equals "2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1" or Files sha256 equals "65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5" or Files sha256 equals "511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1" or Files sha256 equals "4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea" or Files sha256 equals "811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d" or Files sha256 equals "1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944"