CISA 警告:Microsoft Exchange の ProxyShell 脆弱性へのパッチを急げ

CISA warns admins to urgently patch Exchange ProxyShell bugs

2021/08/23 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、初めての緊急と銘打った警告を発し、オンプレミスの Microsoft Exchange サーバーにパッチを適用し、ProxyShell の脆弱性が積極的に悪用されないようにと促している。同組織は、「悪意の脅威アクターが、ProxyShell の脆弱性である CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 を積極的に利用している。

CISA が強く求めるのは、ネットワーク上の脆弱なシステムを特定すること、そして、これらの攻撃から保護するために、3つの ProxyShell 脆弱性を修正する、2021年5月の Microsoft セキュリティ・アップデートを直ちに適用することだ」と警告している。これらの3つのセキュリティ上の欠陥 (4月と5月にパッチが適用されている) は、Devcore のセキュリティ研究者である Orange Tsai により発見され、4月に開催されたハッキング・コンテスト Pwn2Own 2021 において、これらの欠陥による Microsoft Exchange サーバー侵害を証明した。

• CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
• CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
• CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

複数の脅威アクターにより積極的に悪用されている

今回の警告は、3月に世界中の数万の組織を襲った攻撃から、組織のネットワークを守るために出された警告である、Microsoft Exchange の4つのゼロデイバグ (ProxyLogon として知られる) 警告に続くものである。Microsoft は、2021年5月に ProxyShell のバグを完全に修正したが、この3つの脆弱性に対して CVE ID 割当ては7月にずれ込んだ。したがって、パッチ未適用のサーバーを所有する一部の組織は、ネットワーク上に脆弱なシステムがあることを発見できなかった。

最近になって、技術的な詳細が公開されたことで、セキュリティ研究者たちによる ProxyShell エクスプロイトの再現が可能になった。そして、3月になると、攻撃者は ProxyShell の脆弱性を利用して、Microsoft Exchange サーバーのスキャン/ハッキングが生じるようになった。攻撃者は、パッチ未適用の Exchange サーバーに侵入した後に、Web Shell をドロップし、悪意のツールをアップロードしていく。当初のペイロードは無害だったが、攻撃者たちは、Windows PetitPotam エクスプロイトを用いて侵害した Windows ドメインに、LockFile ランサムウェアのペイロードをディプロイし始めた。米国のセキュリティ企業である Huntress Labs によると、金曜日までに侵害された1,900台以上の Microsoft Exchange サーバー上に、攻撃者がディプロイした 140以上の Web Shell が見つかっている。

また、検索エンジンである Shodan の追跡によると、ProxyShell エクスプロイト攻撃に対して脆弱な無数の Exchange サーバーの大半は、米国とドイツに設置されているようだ。また、この週末には、NSA の Cybersecurity Director である Rob Joyce も、「Microsoft Exchange サーバーの悪用が急増している。インスタンスをホストしている場合にはパッチを当て、継続した監視が必要になる」と警告している。NSA は、3月に発表した Web Shell に関するガイダンスが、現在進行中の攻撃にも適用できることがあると注意を喚起している。ProxyShell パッチ適用が必要な Microsoft Exchange サーバーを特定する方法や、悪用を検出する方法については、セキュリティ研究者である Kevin Beaumont が公開したブログ記事に記載されている。

この脆弱性に関しては、「Black Hat 2021:Microsoft Exchange 問題の新たな観点」、「Black Hat 2021:Microsoft Exchange ProxyShell 脆弱性への悪意のスキャン」、「LockFile ランサムウェアは ProxyShell 脆弱性を介して Microsoft Exchange を攻撃する」という順番で追跡してきました。Black Hat での指摘があって、攻撃手法が明らかになり、LockFile ランサムウェアが登場したところで、CISA から緊急警告が出されました。もし、なにかが起こると被害は甚大です。ご注意ください。

%d bloggers like this: