Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている

Fake Microsoft Exchange ProxyNotShell exploits for sale on GitHub

2022/10/03 BleepingComputer — 詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようだ。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにした。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告した。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしている。

Microsoft は攻撃の分析において、「我々は、10件未満のグローバル組織において、これらの攻撃を観測した。MSTIC (Microsoft Threat Intelligence Center) は、国家に支援された単一の組織による攻撃の可能性が高いと、中程度の信頼度で評価している」と述べている。

セキュリティ研究者たちは、この脆弱性の技術的な詳細を非公開にしている。この脆弱性を悪用しているのは、少数の脅威アクターだけのようだ。そのため、他の研究者たちや脅威アクターたちは、ネットワークの防御/ハッキングなどの自らの活動に利用するために、この脆弱性の最初の公開を待っている状況にある。

偽のエクスプロイトを販売する詐欺師

この嵐の前の静けさを利用するために、ある詐欺師が GitHub リポジトリを作成し、Exchange CVE-2022-41040/CVE-2022-41082 の偽の PoC エクスプロイトの販売を試み始めている。

これらの詐欺師を追跡している Huntress Lab の John Hammond は、偽のエクスプロイトを販売しようとする5つのアカウントが削除されていることを発見した。これらのアカウントは、jml4da/TimWallbey/Liu Zhao Khin (0daylabin)/R007e/spher0x という名前で登録されていたという。

Paulo Pacheco が発見した別の詐欺アカウントは、新しい Exchange の脆弱性と利用可能な緩和策を文書化することで有名な、セキュリティ研究者/専門家である Kevin Beaumont (別名 GossTheDog) になりすましたものだった。

Fake Kevin Beaumont account on GitHub
GitHub の Kevin Beaumont の偽アカウント
Source: BleepingComputer

リポジトリ自体には重要なものは含まれていないが、README.md には新しい脆弱性について、現時点で判明していることが書かれており、その末尾にゼロデイ用の PoC エクスプロイトを販売していると記されている。

このリポジトリの文章には、「これは、ユーザーやセキュリティ・チームに、気づかれない可能性があるということだ。このような強力なツールは、完全に公開されるべきではなく、本物の研究者たちが使用できるように、厳密に管理されるべきだ https://satoshidisk.com/pay/xxx」と書かれている。

A portion of the READMEmd in the GitHub repositories
GitHub リポジトリにある READMEmd の一部
Source: BleepingComputer

README ファイルには、詐欺師が偽のエクスプロイトを 0.01825265 Bitcoin (約 $420) で販売しようとする、SatoshiDisk のページへのリンクが記載されている。

詐欺のための SatoshiDisk のページ
Source: BleepingComputer

一連の脆弱性には、$400 をはるかに超える価値があり、Zerodium は Microsoft Exchange のリモート・コード実行のゼロデイに対して、少なくとも $250,000 を提供している。つまり、これは単なる詐欺であり、bitcoin を送っても何も受け取れない可能性が高い。

さらに、すでに利用可能な情報が揃っているため、特に、国家に支援されるハッカーなどの高度な脅威アクターにとっては、これらの脆弱性を悪用する方法を見つけ出すことは、それほど難しいことではなさそうだ。

この、Exchange の脆弱性 CVE-2022-41040/CVE-2022-41082 ですが、9月30日の「Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出」で、すでにお伝えしています。しかし、その記事の末尾で紹介されていた、Kevin Beaumont さんに偽物説があることは、今日の記事で分かったことなので、急いで注釈を加えておきました。それにしても、Exchange のゼロデイが未パッチという状況は怖いですね。なお、上記の記事 (9/30) では、悪用しているのは中国語圏のハッカーだと指摘されていました。

%d bloggers like this: