Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?

Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations

2023/01/05 DarkReading — マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表した。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるという。

Rackspace の CSO である Karen O’Reilly-Smith は、「現時点において、このインシデントの根本原因が、CVE-2022-41080 を悪用するゼロデイ攻撃であると強く確信している。Microsoft は CVE-2022-41080 を特権昇格の脆弱性として開示し、悪用可能なリモートコード実行チェーンの一部であることについて、注記していなかった」と、Dark Reading に電子メールで回答している。


脆弱性 CVE-2022-41080 は、2022年11月に Microsoft がパッチを適用している。 

Rackspace の外部アドバイザーが Dark Reading に語ったところによると、同社は ProxyNotShell のパッチが「認証エラー」を引き起こし、Exchange サーバをダウンさせる恐れがあるという報告を懸念し、その適用を見合わせたとのことだ。以前に Rackspace は、Microsoft が推奨する脆弱性の緩和策を実施しており、Microsoft としても、それが攻撃を阻止する方法だと判断していた。

CrowdStrike は、ProxyNotShell と呼ばれる脆弱性 CVE-2022-41082 は、RCE の次の段階で CVE-2022-41080 にチェーンする新しい手法を、Play ランサムウェア・グループが用いた方法を詳細に示すブログ投稿で、その調査結果を共有している。 

その頃の CrowdStrike の投稿には Rackspace の名前は出ていないが、同社の外部アドバイザーは Dark Reading に対して、「Play の緩和バイパス手法に関する調査は、あるホスティング・サービス・プロバイダに対する攻撃について、CrowdStrike が実施したものだ」と語っている。

先月に Microsoft は Dark Reading に対して、この攻撃は以前に発行された ProxyNotShell の緩和策をバイパスするが、適用されているパッチ自体をバイパスするものではないと述べている。 

その外部アドバイザーは、可能であれば、パッチの適用で解決する。しかし、Rackspace は、緩和策が有効であると言われていた時点で、パッチ適用のリスクを真剣に検討し、パッチにはサーバをダウンさせるリスクが伴うと指摘していた。つまり、自分たちが認識しているリスクを、評価/検討/計量したと、その外部アドバイザーは述べている。そして、サーバは停止した状態にあり、まだパッチは適用されていないという。 

なお、Rackspace の広報担当者は、ランサムウェア・ギャングに対する身代金の支払いについてはコメントしていない。

Exchange Server に存在する脆弱性 ProxyNotShell (CVE-2022-41080) の悪用が、Rackspace の Exchange ホスティング・サービスに実害を及ぼしました。文中にもある CrowdStrike による調査については、2022年12月21日の「Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス」をご参照ください。パッチ適用におけるリスクと、有効とされる緩和策を比較した、Rackspace の判断は妥当なはずだったので、同情してしまいます。似たような話ですが、2022年12月15日の「Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958:IBM が唱える異論とは?」も、ちょっと心配です。よろしければ、ProxyNotShell で検索も、ご利用ください。

%d bloggers like this: