Microsoft fixes ProxyNotShell Exchange zero-days exploited in attacks
2022/11/08 BleepingComputer — Microsoft Exchange に存在し、野放し状態で悪用されている、ProxyNotShell と名付けられた2つのゼロデイ脆弱性に対して、セキュリティ更新プログラムがリリースされた。2022年9月以降において、この2つのセキュリティ欠陥を連鎖させた攻撃者は、侵害したサーバ上に Chinese Chopper Web シェルを展開し、永続性を確保しながら被害者のネットワーク内で横方向へと移動することで、データを窃取してきたと思われる。
9月30日に Microsoft は、これらの脆弱性が攻撃で積極的に悪用されていることを認め、「ユーザー・システムに侵入するために、2つの脆弱性を悪用する、限定的な標的型攻撃を認識している。すでに、検出機能をディプロイし、悪意のあるアクティビティの監視が始まっている。顧客を保護するために必要な、対応措置を講じる予定が。修正プログラムのリリースへ向けて、加速度的に取り組んでいる」と述べていた。
その後に同社は、ProxyNotShell 攻撃をブロックするための緩和策を発表したが、その緩和策の回避が可能だという研究成果が示されたことで、ガイダンスを再度更新する必要が生じた。
管理者によるパッチ適用への警告
今日の November 2022 Patch Tuesday の一環として Microsoft 、この2つの脆弱性に対応するセキュリティ更新プログラムを公開した。
Exchange Team は、「関連する脆弱性の積極的な悪用 (限定的な標的型攻撃) を認識している。この攻撃から保護するために、更新プログラムの迅速なインストールを推奨している。これらの脆弱性は、Exchange Server に影響を及ぼす。Exchange Online のユーザーは、これらの SU で対処されている脆弱性から既に保護されているため、環境内の Exchange Server を更新する以外の措置は不要だ」と警告を発している。
この脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼす。
この脆弱性の悪用に成功した攻撃者は、特権昇格した後に、システムのコンテキストで PowerShell を実行し、任意のコード実行/リモートコード実行を行う可能がある。
Microsoft は CVE-2022-41082 のアドバイザリにおいて、「この脆弱性を悪用する攻撃者は、任意のコード実行/リモートコード実行により、サーバのアカウントを狙うことが可能だ。攻撃者は、認証されたユーザーとして、サーバ・アカウントのコンテキストで、ネットワーク・コールを介して悪意のコードをトリガーできる」と述べている。
この ProxyNotShell のセキュリティ上の欠陥を、リモートから悪用できるのは、認証された脅威アクターのみとなる。ただし、この悪用は、ユーザーとの対話を必要としない、低複雑度のものである。
11月の Patch Tuesday ですが、Exchange の ProxyNotShell が FIX してよかったです。よろしければ、10月3日の「Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell の偽 PoC が販売されている」と、10月5日の「Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell に対する緩和策の更新」を、ご参照ください。FIX までに時間が掛かりすぎたという見方もあれば、発表が早すぎたという見方もあるでしょう。この ProxyNotShell のケースは、ベトナムの GTSC 社が発見して、Trend Micro と共同で Microsoft に報告したとのことですが、なんらかの調整の不具合があったのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.