Microsoft Exchange の RCE 脆弱性 CVE-2021-42321 の PoC が提供されている

Expert released PoC exploit code for Microsoft Exchange CVE-2021-42321 RCE bug

2021/11/23 SecurityAffairs — この日曜日に、研究者である Janggggg は、Microsoft Exchange サーバーの CVE-2021-42321 として追跡されている、活発に悪用されている脆弱性に対する PoC エクスプロイト・コードを公開した。この脆弱性 CVE-2021-42321 は、コマンドレットにおける不適切な引数の検証に起因する、深刻度の高いリモートコード実行の問題である。Microsoft は、この欠陥は認証された攻撃者のみが悪用できると指摘している。

2021年11月の Microsoft Patch Tuesday セキュリティ・アップデートにより、この欠陥は対処されている。この脆弱性は、オンプレミスの Exchange Server 2016 および Exchange Server 2019 に影響するものだ。

Microsoft のアナウンスメントには、「Exchange 2016 および Exchange 2019 における、認証後の脆弱性 CVE-2021-42321 を利用した、限定的な標的型攻撃がワイルドに発生していることを認識している。当社の推奨は、顧客の環境を保護するために、これらの更新プログラムを直ちにインストールすることだ。これらの脆弱性は、Exchange ハイブリッド・モードの顧客が使用するサーバーなどの、オンプレミス Microsoft Exchange Server に影響する。なお、Exchange Online の顧客はすでに保護されており、何もする必要はない。数多く要望にしたがい、CVE-2021-42321 Exchange Post-Auth RCE の PoC を紹介する。この PoC は、ターゲット上で mspaint.exe を起動するだけで、成功した攻撃イベントのシグネチャ・パターンを認識するために使用できる」と記されている。

2021年11月の Exchange Server Security Updates に含まれる FAQ セクションによると、自身のサーバーでの悪用の有無を確認することも可能だ。その場合には、CVE-2021-42321 の修正プログラムが導入する前に、Exchange サーバー上で以下の PowerShell クエリを実行して、イベントログ内の特定のイベントをチェックできる。

Get-WinEvent -FilterHashtable @{ LogName=’Application’; ProviderName=’MSExchange Common’; Level=2 }。| Where-Object { $_.Message -like “BinaryFormatter.Deserialize” }

専門家の間では、すでに脅威アクターたちが Web をスキャンし、脆弱性のあるソフトウェアを探し出し、悪用を試みようとしていることが確認されているという。
この数ヶ月の間に、国家機関や金銭目的の攻撃者による Microsoft Exchange を狙った攻撃が多数確認されている。そのため、最新のアップデートを直ちにインストールすることが重要である。

つい先日に、「Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している」という記事をポストしたばかりです。ほんと、Exchange に関する攻撃は多いですね。政府機関や大手企業で使われ、また、侵害に成功すれば重要な情報を入手できるわけですから、最大の標的になるのは致し方ないことなのでしょう。なお、CVE-2021-42321 ですが、お隣のキュレーション・チームに確認したら、11月10日にレポートされているとのことでした。

%d bloggers like this: