New Microsoft Exchange zero-days allow RCE, data theft attacks
2023/11/03 BleepingComputer — Microsoft Exchange に存在する、4件のゼロデイ脆弱性の悪用に成功した攻撃者が、任意のリモート・コードを実行や、機密情報を開示を行う可能性が生じている。これらのゼロデイ脆弱性は、11月2日に Trend Micro の Zero Day Initiative (ZDI) が公表したものであり、2023年9月7日/8日の時点で、Trend Micro から Microsoft に報告されているという。
Microsoft は、この報告を認めているが、同社のセキュリティ・エンジニアはたちは、直ちに対処するほど深刻ではないと判断し、修正を後回しにしている。しかし、ZDI は同意していない。そのため、Exchange 管理者へのセキュリティ・リスクの警告として、独自のトラッキング ID で欠陥を公表することにした。
欠陥の概要は以下の通りである:
- ZDI-23-1578:ユーザーデータの不適切な検証により、攻撃者による信頼できないデータのデシリアライズが可能となり、”ChainedSerializationBinder” クラスでにリモートコード実行 (RCE) が生じる。悪用に成功した攻撃者は、Windows 上で最高レベルの特権である “SYSTEM” として、任意のコードを実行できる。
- ZDI-23-1579:リソースにアクセスする前に行われる、URI のバリデーションが不十分なため、”DownloadDataFromUri” メソッドに問題が生じる。この脆弱性の悪用に成功した攻撃者は、Exchange サーバを介して機密情報にアクセスできる。
- ZDI-23-1580:不適切な URI バリデーションに起因する、”DownloadDataFromOfficeMarketPlace” の脆弱性により、不正な情報開示につながる可能性がある。
- ZDI-23-1581:不適切な URI バリデーションに起因する、”CreateAttachmentFromUri” の脆弱性により、不正な情報開示につながる可能性がある。
これらの脆弱性の悪用には認証が必要であり、深刻度を示す CVSS 値は 7.1〜7.5 となっている。さらに、認証が必要であることで緩和策も講じやすい。それが、Microsoft がバグの修正を先送りにした理由なのかもしれない。
ただし、サイバー犯罪者が Exchange 認証情報を入手する方法としては、脆弱なパスワードの総当り/フィッシング攻撃/認証情報の購入/情報窃取ログからの入手などの、さまざまな手段があることに留意すべきである。
とは言え、上記のゼロデイ脆弱性は重要なものであり、特に ZDI-23-1578 (RCE) は完全なシステム侵害につながる可能性がある。
ZDI が示唆するのは、Exchange アプリとのやり取りを制限することが、唯一の有効な緩和策であるという点だ。しかし、同製品を使用している多くの企業や組織にとって、受け入れがたい破壊的な影響が生じる可能性がある。
また、アカウント情報が漏洩した場合においても、サイバー犯罪者が Exchange インスタンスにアクセスできないようにするために、多要素認証を導入することも考慮すべきだろう。
ZDI の情報開示について、BleepingComputer は Microsoft にコメントを求めており、現在も回答を待っている状況だ。
Trend Micro と Microsoft は、あまり仲が良くないのでしょうか? ちょうど一年ほど前ですが、ProxyNotShell と名付けられた脆弱性 CVE-2022-41040/CVE-2022-41082 を巡って、ちょっとだけギクシャクしていたような記憶があります。今回は、いったい、どうなるのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.