White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

こんにちは、丸山満彦です。

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

● Whitehouse

・2021.04.13 Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches

Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches	アン・ニューバーガー副国家安全保障顧問（サイバー・新技術担当）によるMicrosoft Exchangeの新パッチに関する声明
Cybersecurity is a top priority for the Biden Administration and we’re committed to sharing actionable and timely information to help the American public operate safely online.	サイバーセキュリティは、バイデン政権の最優先事項であり、米国民がオンラインで安全に活動できるよう、実用的でタイムリーな情報を共有することを約束します。
Microsoft released a set of Exchange patches today that are critical. We urge all owners and operators of Microsoft Exchange Servers to apply these latest patches immediately. The U.S. Government will lead by example – we are requiring all agencies to immediately patch their Exchange servers, as well. Should these vulnerabilities evolve into a major incident, we will manage the incident in partnership with the private sector, building on the Unified Coordination Group processes established and exercised in the recent Microsoft Exchange incident.	本日、マイクロソフト社がリリースした一連のExchangeパッチは非常に重要なものです。Microsoft Exchange Serverの所有者および運営者の皆様には、これらの最新パッチを直ちに適用することをお勧めします。米国政府も例に漏れず、すべての政府機関にExchangeサーバに直ちにパッチを適用するよう求めています。これらの脆弱性が重大なインシデントに発展した場合には、最近のMicrosoft Exchangeインシデントで確立され、実施されたUnified Coordination Group（統合調整グループ）のプロセスを基に、民間企業と協力してインシデントを管理します。
The U.S. government discovered and notified Microsoft on these vulnerabilities. The U.S. Government carefully weighs the national security, public, and commercial interests in deciding to disclose a vulnerability. Moreover, we recognize when vulnerabilities may pose such a systemic risk that they require expedited disclosure. This disclosure is an example of the responsible and transparent approach the U.S. government uses when handling vulnerabilities. This is consistent with our expectations for how responsible governments and companies can work together to promote cybersecurity.	米国政府は、これらの脆弱性を発見し、マイクロソフトに通知しました。米国政府は、脆弱性の開示を決定する際に、国家安全保障、公共、商業上の利益を慎重に考慮します。さらに、脆弱性が迅速な開示を必要とするようなシステム上のリスクをもたらす場合も認識しています。今回の公開は、米国政府が脆弱性を取り扱う際に用いている責任ある透明なアプローチの一例です。これは、責任ある政府と企業がサイバーセキュリティを促進するためにどのように協力するかについての我々の期待と一致しています」と述べています。

 

 

■ 関連

● Department of Homeland Security: DHS - Emergency Directive 21-02

・2021.04.13 supplemental direction v2 

● Cyberseurity & Infrastracture Security Agency: CISA

・MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES 

 

裁判所はFBIに対して、脆弱なMicrosoft Exchange Serverに仕込まれたバックドアのweb shellを使って、そのweb shell自身を削除する許可を与えていますね。。。実際に実行して、後から削除をした旨を通知するようですね。おそらくそのタイミングで「パッチをあてろよ」と言うんでしょうね。

● U.S. Department of Justice

・2021.04.13 Justice Department Announces Court-Authorized Effort to Disrupt Exploitation of Microsoft Exchange Server Vulnerabilities

Action Copied and Removed Web Shells that Provided Backdoor Access to Servers, but Additional Steps may be Required to Patch Exchange Server Software and to Expel Hackers from the Victims’ Networks.

[PDF] 裁判所からの許可

・2021.04.13 Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities

Action copied and removed web shells that provided backdoor access to servers, but additional steps may be required to patch Exchange Server software and expel hackers from victim networks.