Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス

Play ransomware attacks use a new exploit to bypass ProxyNotShell mitigations on Exchange servers

2022/12/21 SecurityAffairs — Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようだ。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013/2016/2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるという。

Microsoft は、2022年11月の Patch Tuesday により、この脆弱性 ProxyNotShell に対処している。具体的な内容は、以下の通りである。

CVE-2022-41040:Microsoft Exchange Server 特権昇格の脆弱性
CVE-2022-41082:Microsoft Exchange Server のリモートコード実行の脆弱性


このエクスプロイト・チェーンは、ProxyNotShell に対応するために Microsoft が実装した、Autodiscover エンドポイントの URL 書き換え緩和策を回避するために使用されている。そして、このランサムウェア・ギャングは、正規の Plink/AnyDesk 実行ファイルを活用してアクセスを維持し、その活動を隠すために Microsoft Exchange サーバ上でアンチ・フォレンジック技術を実行している。

CrowdStrike は、「最近になって、脆弱性 CVE-2022-41080/CVE-2022-41082 を悪用し、Outlook Web Access (OWA) を介してリモートコード実行を実現する、新たなエクスプロイト・チェーン (OWASSRF) を発見した。この新しいエクスプロイト・チェーンを用いる脅威アクターは、ProxyNotShell に対応するために Microsoft 提供する、Autodiscover エンドポイントの URL リライト緩和策をバイパスする。イニシャル・アクセスに成功した脅威アクターは、正規のPlink/AnyDesk 実行ファイルを悪用してアクセスを維持し、アクティビティを隠すために Microsoft Exchange サーバ上でアンチ・フォレンジック技術を実行している」と述べている。

専門家たちが調査を実施したが、脅威アクターたちは、攻撃で使用した PowerShell コマンドの痕跡を隠すために、影響を及ぼしたバックエンド Exchange サーバの Windows イベントログを消去していた。

CrowdStrike のセキュリティ研究者たちは、この Play ランサムウェア攻撃を再現するために、POC コードの開発に取り組んでいた。その一方で、HunttressLabs の研究者たちは、オープン・リポジトリを介して攻撃者が用いたツールを発見し、MegaUpload リンクを介して共有した。

流出したツールには、Python スクリプト poc.py が含まれていた。CrowdStrike の研究者たちは、それを実行することで、最近の Play ランサムウェア攻撃で生成されたログの再現に成功した。

CrowdStrike の研究者である Dray Agha は、ProxyNotShell に対するパッチが適用されていない Exchange システム上で、このエクスプロイト手法による攻撃を再現したが、パッチ適用済みのシステムでは攻撃を再現できなかった。

ユーザー組織に対して推奨されるのは、Microsoft の 2022年11月のセキュリティ更新プログラムの迅速な適用と、管理者以外のユーザーのリモート PowerShell の無効化である。それと変更して、Endpoint Detection and Response (EDR) ツールの導入も推奨される。なお、KB5019758 パッチを直ちに適用できないユーザーは、パッチ適用が可能になるまでの間、OWA を無効化する必要がある。

脆弱性 ProxyNotShell ですが、緩和策のみを実施している環境では、Play ランサムウェアの OWASSRF エクスプロイト・チェーン攻撃を許すことになるようです。10月5日の「Microsoft Exchange のゼロデイ脆弱性:ProxyNotShell に対する緩和策の更新」で、この緩和策は說明されています。また、11月8日には、「Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表」という記事もポストされています。よろしければ、ProxyNotShell で検索も、ご利用ください。