Microsoft Exchange のゼロデイ CVE-2024-21410:修正前に悪用されていた

Microsoft: New critical Exchange bug exploited as zero-day

2024/02/14 BleepingComputer — 2月14日のセキュリティ・アドバイザリで、Microsoft が警告しているのは、Exchange Server の深刻な脆弱性 CVE-2024-21410 が、2月の Patch Tuesday で修正される前にゼロデイとして悪用されていたことだ。この脆弱性は、Microsoft 社内で発見されたものであり、Microsoft Exchange Server の脆弱なバージョンを標的とした NTLM リレー攻撃において、リモートの認証されていない脅威アクターに、権限の昇格をゆるす可能性があるものだ。

このような攻撃を仕掛ける攻撃者は、サーバ/ドメイン・コントローラなどのネット・ワークデバイスに対して、自分たちのコントロール下にある NTLM リレー・サーバを認証させ、ターゲットとなるデバイスになりすまし、権限を昇格させていく。

Microsoft は、「攻撃者は、Outlook などの NTLM クライアントを標的として、NTLM 認証の情報漏えいの脆弱性を悪用する。そして、Exchange サーバに対して、流出した認証情報を中継することで、被害者クライアントとしての特権を獲得し、被害者に代わって Exchange サーバ上で操作を実行する。この脆弱性の悪用に成功した攻撃者は、ユーザーの漏洩した Net-NTLMv2 ハッシュを、脆弱な Exchange サーバに対して中継して、ユーザーとしての認証を達成する」と詳述している。

Exchange Extended Protection という緩和策

February 2024 Patch Tuesday でリリースされた、Exchange Server 2019 Cumulative Update 14 (CU14) アップデートは、NTLM 資格情報のリレー保護 (別名 EPA:Extended Protection for Authentication) を有効化することで、この脆弱性に対処している。

EPA は、Windows Server の認証機能の強化を目的として設計されたものであり、認証リレーや中間者 (MitM:Man-in-the-Middle) 攻撃を緩和する。

Microsoft の発表は、2022年8月に初めて Exchange Server の EPA サポートを導入し、翌 2023年の CU14 の導入後に、すべての Exchange サーバで EPA をデフォルトにするというものだ。

そして同社は 2月14日に、2月の 2024 H1 Cumulative Update (通称 CU14) をインストールすると、すべての Exchangeサーバで、EPA がデフォルトで有効になると発表した。

Exchange Server 2016 などの、古いバージョンの Exchange Server を使用している場合には、ExchangeExtendedProtectionManagement PowerShell スクリプトにより EPA を有効化できる。それにより、脆弱性 CVE-2024-21410 に対するパッチ未適用のデバイスであっても、それを標的とする攻撃からシステムを保護できる。

ただし、Exchange サーバーで EPA を有効化する前に、自分の環境を評価して、Microsoft の EPA 有効化スクリプトのドキュメントに記載されている問題点を確認し、機能の破壊を避ける必要がある。

また、2月14日に Microsoft は、Outlook のリモート・コード実行 (RCE:Remote Code Execution) の深刻な脆弱性 CVE-2024-21413 について、February 2024 Patch Tuesday で修正される前の攻撃で悪用されたと、誤ってタグ付けしていた。

2024年2月の Patch Tuesday には、CVE-2024-21351CVE-2024-21412 がゼロデイだと記載されていましたが、この CVE-2024-21410 も、それ以前から悪用が始まっていたようです。先ほどのポストで、Outlook の脆弱性 CVE-2024-21413 の悪用について解説しましたが、さらに悪用情報が追加されたことになります。CVE-2024-21410 については、Malwarebytes も “Microsoft Exchange vulnerability actively exploited” という記事を提供しています。