Microsoft Exchange servers scanned for ProxyShell vulnerability, Patch Now
2021/08/07 BleepingComputer — Black Hat カンファレンスで技術的な詳細が公開されたことで、脅威アクターたちは Microsoft Exchange ProxyShell のリモートコード実行の脆弱性を積極的にスキャンするようになった。これらの脆弱性を調べる前に、どのように公開されたかを理解することが重要だ。ProxyShell は、3つの脆弱性の総称であり、それぞれの脆弱性が連鎖すると、Microsoft Exchange サーバー上で認証を必要とせずにリモートコードが実行される。これらの脆弱性の連鎖は、IIS の Port 443 で実行される Microsoft Exchange の Client Access Service (CAS) を介してリモートから悪用される。
ProxyShell 攻撃に利用される、連鎖型の脆弱性は以下の3つである。
・CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
・CVE-2021-34523 – Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
・CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)
不思議なことに、CVE-2021-34473 と CVE-2021-34523 の双方は、ともに7月に初めて公開されたが、実は4月の Microsoft Exchange KB5001779 累積更新プログラムで、ひっそりとパッチが当てられていた。これらの脆弱性を発見したのは、Devcore の Principal Security Researcher Orange Tsai であり、彼のチームは4月に開催されたハッキング・コンテスト Pwn2Own 2021 で $200,000 の賞金を獲得している。木曜日の Black Hat 講演で Orange Tsai は、Microsoft Exchange Client Access Service (CAS) の攻撃対象を調査した際に発見した、直近の Microsoft Exchange 脆弱性について説明した。
講演の中で Tsai は、ProxyShell 攻撃チェーンの構成要素の1つが、Microsoft Exchange Autodiscover サービスをターゲットにしていることを説明した。Autodiscover サービスとは、メール・クライアントがユーザーからの入力を最小限に抑え、自動設定を行うための簡単な手段を提供するために導入されたものだ。セキュリティ研究者である PeterJson と Jang は、Orange Tsai の講演を聴いた後に、ProxyShell 攻撃の再現に成功したという技術情報を、論文として発表した。
攻撃者による脆弱な Exchange Server のスキャン
今週になって、セキュリティ研究者である Kevin Beaumont が、彼が Microsoft Exchange に仕掛けたハニーポットを使って、脅威アクターたちが Autodiscover サービスを詮索していことをツイートした。これらの試みは失敗に終わったが、この脆弱性の詳細が発表された昨夜には、攻撃者たちはスキャンの内容を変更し、Tsai がスライドで開示した新しい Autodiscover の URL を使用していたという。この新しい URL を使用すると、ASP.NET Web アプリケーションのコンパイルが開始されるため、攻撃者は脆弱なシステムの検出に成功したことが分かる。
Jang が BleepingComputer に語ったところによると、この URL にアクセスすると、Kevin Beaumont のハニーポット画像にあるように、ASP.NET のワーカー・プロセス (w3wp.exe exe) が Web アプリケーションをコンパイルすることになる。現在、脅威アクターたちは脆弱な Microsoft Exchange サーバーを積極的にスキャンしているため、Kevin Beaumont は管理者たちに対して、Azure Sentinel を使用して IIS ログに「/autodiscover/autodiscover.json」または「/mapi/nspi/」の文字列が存在していないかを確認するようアドバイスしている。その結果として、対象となる Autodiscover の URL がリストアップされているなら、脅威アクターたちがサーバーの脆弱性をスキャンしたことの証拠になる。
脅威アクターは、この脆弱性を積極的に利用しようとしているが、現時点では、ほとんど成功していない。しかし、この脆弱性の悪用が成功するのは、時間の問題だろう。Microsoft Exchange の管理者は、最新の累積更新プログラムをインストールして、これらの脆弱性からの保護を行うべきだ。ProxyShell の脆弱性に関するパッチは既にリリースされているため、3月に発生したProxyLogon 攻撃のように、その被害が広範囲に及ぶことはないだろう。ProxyLogon 攻撃では、公開されたサーバー上で、でランサムウェア、マルウェア、データの盗難などが発生しました。しかし、Tsai によると、現時点でインターネット上に公開されている Microsoft Exchange サーバーは40万台もあるため、攻撃が成功する可能性は高いとのことだ。BleepingComputer では、このキャンペーンについて Microsoft に問い合わせたが、現時点では回答は得られていない。
昨日の「Black Hat 2021:Microsoft Exchange 問題の新たな観点」に続いて、またも Black Hat + Exchange の話題です。それだけ、Exchange への攻撃は、私たちの社会に与える影響が大きいのでしょう。Orange Tsai さんの公演を聴いたら直ぐに、他の研究者が検証/公表してくれるのが、とても有り難いですね。有益な情報が出てくれば、それを悪用しようとする者も動き出します。ほんと、時間との戦いですね。
IoT OT Security News 