LockFile ランサムウェアは ProxyShell 脆弱性を介して Microsoft Exchange を攻撃する

LockFile ransomware attacks Microsoft Exchange with ProxyShell exploits

2021/08/21 BleepingComputer — LockFile と呼ばれる新しいランサムウェアが、最近になって公開された ProxyShell の脆弱性を悪用して Microsoft Exchange サーバーに侵入し、Windows ドメインを暗号化している。ProxyShell とは、3つの Microsoft Exchange の脆弱性を連鎖させることで、認証を回避してリモート・コードを実行する攻撃の名称である。この3つの脆弱性は、Devcore の Principal Security Researcher である Orange Tsai が発見したもので、彼は4月に開催されたハッキング・コンテスト Pwn2Own 2021 で、これらの脆弱性を連鎖させて Microsoft Exchange サーバーを乗っ取ることに成功している。

• CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
• CVE-2021-34523 – Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
• CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

2021年5月に Microsoft は、これらの脆弱性に完全なパッチを適用したが、最近になって多くの技術的な詳細が開示され、セキュリティ研究者や脅威アクターによりエクスプロイトの再現が可能になった。先週に BleepingComputer が報告したように、それにより脅威アクターは ProxyShell の脆弱性を利用して、Microsoft Exchange サーバーの積極的なスキャン/ハッキングを行うようになった。Exchange サーバーを悪用した後に、脅威アクターは、他のプログラムをアップロード/実行するための Web シェルを投下する。

NCC Group の脆弱性研究者である Rich Warren は、BleepingComputer に対して、そのときには無害なペイロードをダウンロードする、.NET バックドアをインストールするために Web シェルが使われると述べている。また、セキュリティ研究者の Kevin Beaumont の報告によると、LockFile と呼ばれる新しいランサムウェアは、Microsoft Exchange ProxyShell と Windows PetitPotam の脆弱性を利用して、Windows ドメインを乗っ取り、デバイスを暗号化する。ネットワークに侵入した脅威者は、最初に ProxyShell の脆弱性を利用して、オンプレミスの Microsoft Exchange サーバーにアクセスする。Symantec によると、LockFile グループは PetitPotam 脆弱性を利用して、ドメイン・コントローラーや Windows ドメインを乗っ取る。そこからネットワーク全体に、ランサムウェアを展開するのは容易なことだ。

LockFile ランサムウェアについて分かっていること

現時点では、新しいランサムウェア LockFile の動作については、あまり解明されていない。7月に初めて目撃されたとき、この ransom note には LOCKFILE-README.hta という名前が付けられていたが、特別なブランド名は付いていなかった。先週から BleepingComputer は、LockFile という名前を示すブランド名の、ransom note を使用するランサムウェア・ギャングの報告を受け付けている。その身代金請求書は、「[被害者名]-LOCKFILE-README.hta」という命名形式が使われており、身代金の交渉のために Tox または電子メールで連絡を取るよう、被害者に促している。現時点で、この活動で使用されているメールアドレスは「contact@contipauper.com」であり、ランサムウェア Conti を参考にしていると思われる。

身代金請求書の配色は類似しているが、通信方法や文言から、同じオペレーションであるかどうかは不明だ。特に興味深いのは、身代金請求書の配色やレイアウトが、LockBit ランサムウェアに酷似していることだが、関連性は無さそうだ。このランサムウェアは、ファイルを暗号化する際に、暗号化されたファイルの名前に .lockfile という拡張子を付ける。昨日の午後に、BleepingComputer とランサムウェアの専門家である Michael Gillespie が7月の LockFile を分析したところ、多くのシステム・リソースを占有することで、コンピュータに一時的なフリーズをもたらす、騒々しいランサムウェアであることが分かった。

今すぐパッチを

LockFile の動作には、Microsoft Exchange ProxyShell の脆弱性と、Windows PetitPotam NTLM Relay の脆弱性が使用されているため、Windows 管理者は最新の更新プログラムをインストールすることが必須となる。ProxyShell の脆弱性については、最新の Microsoft Exchange 累積更新プログラムをインストールすることでパッチが適用される。Windows の PetitPotam 攻撃は、Microsoft によるセキュリティ・アップデートが不完全であり、すべての脆弱性ベクトルにパッチが適用されていないため、少し複雑になっている。

PetitPotam 攻撃にパッチを当てるには、この NTLM リレー攻撃ベクトルをブロックする、0patch の非公式パッチを使用するか、MS-EFSRPC API の脆弱な関数へのアクセスをブロックする、NETSH RPC フィルターを適用する。Beaumont によると、以下の Azure Sentinel のクエリを実行することで、Microsoft Exchange サーバーの ProxyShell 脆弱性がスキャンされているかどうかを確認できる。すべての組織は、可能な限り早急にパッチを適用し、Exchange サーバーのオフラインバックアップを作成することを強く推奨する。

先ほど、「LockFile ランサムウェアは PetitPotam 攻撃で Windows ドメインを乗っ取る」という記事をポストしましたが、そこでも、最初の攻撃対象は Exchenge だと記されていました。そちらも参照してもらえると、見えてくる範囲が広がると思います。それにしても、Orange Tsai さんは大活躍です。関連するポストとしては、「Black Hat 2021:Microsoft Exchange 問題の新たな観点」と「Black Hat 2021:Microsoft Exchange ProxyShell 脆弱性への悪意のスキャン」がありますので、よろしければ ど〜ぞ。

%d bloggers like this: