NSA が発見した Exchange の脆弱性と PoC エクスプロイト

PoC exploit released for Microsoft Exchange bug dicovered by NSA

2021/05/01 BleepingComputer — Microsoft Exchange Server に存在する深刻度の高い脆弱性について、技術ドキュメントと PoC エクスプロイト・コードが公開されている。この脆弱性だが、すでに提供されているパッチを適用しないと、リモート攻撃者によるコード実行を許す可能性がある。

4月に National Security Agency (NSA) から Microsoft に報告された、4つ脆弱性の中の CVE-2021-28482 は、認証を必要とする脆弱性であるにもかかわらず、企業に生じるリスクは軽視できない。 過去に、ProxyLogon の PoC エクスプロイトを公開した研究者 である Nguyen Jang が、4月26日に技術的なドキュメントを公開している。Jang のブログ記事はベトナム語で書かれているが、認証された Exchange Server 環境でリモートコードを実行する上で、技術的な詳細を容易に理解できある。

Python で記述された CVE-2021-28482 のデモ・エクスプロイトが GitHub で公開されています。このコードの妥当性は、CERT/CC の脆弱性アナリストである Will Dormann により確認されているとのことです。Microsoft の4月アップデートを実行していないオンプレミス Exchange Serverインスタンス上で、何らかのかたちで攻撃者が認証を得ている場合、このデシリアライズの脆弱性が悪用されると、Dormann は指摘しています。Microsoft がパッチをリリースする数ヶ月前である、今年の初から悪用された ProxyLogon の脆弱性ですが、NSA のレポートが公表された後に、数多くの企業における Exchange Server が、迅速にアップデートされたようです。

%d bloggers like this: