Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出

WARNING: New Unpatched Microsoft Exchange Zero-Day Under Active Exploitation

2022/09/30 TheHackerNews — セキュリティ研究者たちは、すべてのパッチが適用されているはずの Microsoft Exchange Server において、これまで公表されていなかった脆弱性が驚異アクターに悪用され、それにより侵害されたシステム上で、リモートコード実行を実現することを警告している。ベトナムのサイバー・セキュリティ企業である GTSC は、2022年8月に実施したセキュリティ監視とインシデント対応のアクティビティ一環として、この欠点を発見した。

この2つの脆弱性は、現時点で CVE 識別子が割り当てられていないが、Zero Day Initiative は ZDI-CAN-1833 (CVSS:8.8) および、ZDI-CAN-18802 (CVSS:6.3) として追跡を開始している。


GTSC によると、これらの欠陥の悪用に成功した敵対者は、被害者のシステムへの足がかりを取得し、Web シェルをドロップし、侵害したネットワーク上で横方向の動きを開始できるとのことだ。

同社は、「狡猾に難読化された Web シェルが、Exchange Server 上にドロップされていることを検出した。ユーザー・エージェントを活用することで、中国で Web シェル管理をサポートする、オープンソース・クロスプラットフォーム Web サイト管理ツール Antsword を、この攻撃者は使用していることを検出した」と述べている。

IIS のログに残されたエクスプロイト・リクエストは、ProxyShell Exchange Server の脆弱性と同じ形式で表示されており、今回の攻撃で標的となったサーバーは、2021年3月に公表された欠陥に対して、すでにパッチが適用されていたと、GTSC は指摘している。

同社は、Web シェルのエンコードが簡体字中国語 (Windows Code 936 ページ) であることから、中国のハッカー・グループによる攻撃の可能性が高いと推論している。

また、この攻撃には、China Chopper Web Shell が使用されている。この Web シェルは、持続的なリモート。アクセスを可能にする軽量なバックドアであり、いつでも再接続が可能な攻撃者により、さらなる悪用が可能な設計となっている。

Microsoft Exchange Zero-Day


China Chopper Web Shell は、昨年に ProxyShell の脆弱性が広く悪用された際に、中国政府に支援されるスパイ・グループだと疑われる、Hafnium も導入していたことで注目された。

GTSC が観測した侵入のアクティビティだが、悪意の DLL をメモリに注入し、WMI コマンドライン (WMIC) ユーティリティを用いて、感染させたサーバー上に追加のペイロードをドロップ/実行していた。

同社によると、少なくとも複数の組織が、このゼロデイ脆弱性を悪用した攻撃キャンペーンの犠牲になっているとのことだ。この不具合に関する詳細な情報は、悪用される可能性があるため、現時点では公開されていない。

TheHackerNews は Microsoft にコメントを求めており、返答があれば、この記事を更新していく予定だ。

暫定的な回避策として、IIS サーバーの URL 書換えルール・モジュールを用いて、侵害の指標となるリクエストをブロックする、ルールを追加することが推奨されている。

  • FrontEnd の Autodiscover で、URL Rewrite タブを選択し、Request Blocking を選択する。
  • URL Path に文字列 “.autodiscover.json.@.Powershell.” を追加する。
  • Condition に Choose {REQUEST_URI} を入力する。

注意)Kevin Beaumont 氏の、偽者が出没しているいう説があります。もし、リンク先をたどっていく先で、PoC エクスプロイトの販売などが行われている場合には、ご注意ください。

セキュリティ研究者の Kevin Beaumont は一連のツイートで、「管理インターフェースへのプロキシの亜種に見える。かなりの数の Exchange Server もバックドアが仕込まれたことを確認できる (ハニーポットも含めて) 。ただし、Microsoft Exchange をオンプレミスで実行せず、また、Outlook Web Appがインターネットに面していない場合には影響を受けない」と述べている。

Zero Day Initiative が ZDI-CAN-1833/ZDI-CAN-18802 として取り上げた脆弱性ですが、この後書きを書いている時点では、CVE-2022-41040/CVE-2022-41082 に紐付けられています。この脆弱性を発見した GTSC のレポートは、詳細まで記したものであり、ベトナムの技術力を見直してしまったというのが、正直な感想です。なお、このインシデントについては、続報があるようなので、それも訳すようにします。

%d bloggers like this: