Exploit released for actively abused ProxyNotShell Exchange bug
2022/11/18 BleepingComputer — Microsoft Exchange に存在し、ProxyNotShellと総称される2つの深刻な脆弱性に対して、PoC エクスプロイト・コードが公開された。この2つの脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼし、権限を昇格した攻撃者がシステムのコンテキストで PowerShell を実行することで、侵害したサーバー上で任意のコード実行またはリモート・コード実行が可能なるというものだ。
この ProxyNotShell 攻撃は、2022年9月から検出されているが、それに対応するセキュリティ更新プログラムを Microsoft がリリースしたのは、 2022年11月の Patch Tuesday である。
Microsoft が ProxyNotShell のセキュリティ更新プログラムを公開した1週間後に、セキュリティ研究者である Janggggg は PoC エクスプロイトを公表し、Exchange Server をバックドア化するために、攻撃者が使用している概念を実証した。
ANALYGENCE の Senior Vulnerability Analyst である Will Dormann は、この PoC エクスプロイトをテストし、Exchange Server 2016/2019を実行しているシステムで動作することを確認し、Exchange Server 2013 をターゲットにする場合には、コードの微調整が必要であると付け加えている。
脅威インテリジェンス企業の GreyNoise は、9月下旬から ProxyNotShell の悪用を追跡しており、そのスキャン・アクティビティに関する情報と、攻撃に関連する IP アドレスのリストを提供している。
2022年9月以降に攻撃者は、侵害したサーバに Chinese Chopper Web シェルを展開し、被害者のネットワークにおける永続化の確保と、データ窃盗、および、横方向の移動のために、この2つの脆弱性を連鎖させている。
9月30日には Microsoft も、それらの脆弱性が野放し状態で悪用されていることを認め、「ユーザーのシステムに侵入するために、2つの脆弱性を連鎖させた限定的な標的型攻撃を認識している」と述べている。
そして、パッチをリリースした Exchange Team は、「関連する脆弱性の活発な悪用 (限定的な標的型攻撃) を認識している。これらの攻撃から保護するために、アップデートを直ちにインストールすることを推奨する」と警告している。
そして、彼らは、「これらの脆弱性は Exchange サーバーに影響する。Exchange Online のユーザーは、これらの SU で対処された脆弱性から、すでに保護されている。したがって、自身の環境内における Exchange Server の更新以外には、なんの措置を取る必要もない」と付け加えている。
この攻撃を最初に発見/報告した、ベトナムのサイバーセキュリティ企業 GTSC のセキュリティ研究者たちは、攻撃者は2つの脆弱性を連鎖させ、侵害したサーバに Chinese Chopper Web シェルを展開していると述べていた。
この Exchange Server の脆弱性 ProxyNotShell ですが、10月3日に文中にあるベトナムの GTSC による報告と、ProxyNotShell の偽 PoC の販売について、また、10月5日には緩和策の更新について、11月8日には脆弱性の FIX と 2013/2016/2019 への影響が報道されています。そして、今回の PoC エクスプロイトの公表につながっているわけですが、それなりの時間が掛かってしまいました。11月の Patch Tuesday で更新プログラムがリリースされていますので、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.