Microsoft Exchange の新たな別のゼロデイ:悪用により LockBit ランサムウェアを配布?

Microsoft Exchange servers hacked to deploy LockBit ransomware

2022/10/11 BleepingComputer — Microsoft が進めている調査は、Exchange Server の新たなゼロデイ脆弱性がハッキングに悪用され、その後にランサムウェア Lockbit 攻撃の起動に使用されたという報告に対するものだ。2022年7月に発生した、少なくとも1件のインシデントでは、事前に Exchange Server に配置していた WebShell を用いて、侵入に成功した攻撃者が Active Directory 管理者への権限昇格を実行し、約 1.3TB のデータを窃取し、ネットワーク・システムの暗号化を行ったとされている。

フォレンジック分析の専門家の協力を得た、韓国のサイバー・セキュリティ企業 AhnLab の説明によると、WebShell をアップロードしてから、AD 管理者アカウントを乗っ取るまで、この驚異アクターは僅か1週間で達成したそうだ。

今回の被害者は、前回に侵害が生じた 2021年12月以降において、Microsoft からの四半期ごとのセキュリティ・パッチを展開するサポートを受けていた。したがって、Exchange Server は、未公開のゼロデイ脆弱性の悪用によりハッキングされた可能性が高いと、AhnLab は述べている。

同社は、「5月以降に公開された脆弱性には、リモートコ・マンドやファイル作成に関する脆弱性は報告されていない。したがって、WebShell が 7月21日に作成されたことを考慮すると、この攻撃者は未公開のゼロデイ脆弱性を使用したと予想される」と述べている。

今日の未明に BleepingComputer に語ったように、「Microsoft は、このレポートの主張を調査し、顧客の保護に役立つよう必要な措置を講じる」としている。

Microsoft Exchange に新しいゼロデイ?

いま Microsoft は、CVE-2022-41040/CVE-2022-41082 として追跡され、活発に悪用されている、Microsoft Exchange に存在する2つのゼロデイ脆弱性対応するセキュリティ・パッチに取り組んでいる。しかし AhnLab は、攻撃手法が重複しないため、7月の Exchange Server アクセスで使用された脆弱性は、別のものだという可能性があると付け加えている。

AhnLab は、「9月28日にベトナムの GTSC が公開した、Microsoft Exchange Server の脆弱性 (CVE-2022-41040/CVE-2022-41082) が悪用された可能性があるが、攻撃の手法や、生成された WebShell ファイル名、WebShell 生成後の攻撃形態などが異なる」と述べている。

異なる攻撃者が、異なるゼロデイ脆弱性を悪用したと推測される。

配信方法の違いだけでは、攻撃者が新しいゼロデイを使用した十分な証拠とは言えず、セキュリティ専門家も、それを事実であるとは確信していない。ただし、もう1社のセキュリティ・ベンダーが、Exchange には他の3つの未公開の欠陥があることを認識し、その悪用の試みを阻止するためのワクチンを提供しているそうだ。

Zero Day Initiative の研究者 Piotr Bazydlo が発見し、3週間前に Microsoftに報告した脆弱性がある。そして、Trend Micro のアナリストが問題を検証した後に、ZDI-CAN-18881/ZDI-CAN-18882/ZDI-CAN-18932 として追跡することになったという。

Undisclosed Exchange flaws
Undisclosed Exchange flaws (Trend Micro)

Trend Micro は、2022年10月4日以降において、IPS N-Platform/NX-Platform/TPS 製品群に対して、一連の Exchange ゼロデイに関する検出シグネチャを追加している。

Trend Micro は Digital Vaccine のサポート・ドキュメントで、「このフィルタは、Microsoft Exchange に影響を与えるゼロデイ脆弱性の悪用を防止する」と述べている。これら3件のセキュリティ上の欠陥が報告された後に、Microsoft は情報を開示しておらず、それらを追跡するための CVE も、まだ割り当てられていないとのことだ。

Microsoft Exchange に存在する、ProxyNotShell と呼ばれる脆弱性 CVE-2022-41040/CVE-2022-41082 ですが、依然としてパッチは未適用であり、緩和策が提供されているだけです。その Exchange において、3つの新たな脆弱性がありそうだという、AhnLab と Trend Micro の見立てを紹介する記事です。10月の Exchange は、ご難続きという感じですね。