新ランサムウェア「LockFile」、ProxyShellとPetitPotamを悪用して攻撃することが発覚

news

新たなランサムウェアは、最近公開された2つの脆弱性を使って企業ネットワークへの侵入、乗っ取り、暗号化の機会を増やしていることがわかりました 。

セキュリティ企業のTG Soft社とセキュリティ研究者のKevin Beaumont氏の報告によると、LockFileと名付けられたこの新ランサムウェアは、ProxyShellと呼ばれる脆弱性を悪用し、Microsoft Exchangeの電子メールサーバにアクセス。そこから企業の内部ネットワークに侵入するしていることが確認されました。

2,000台のExchangeサーバがProxyShellの脆弱性をハッキングされていることが発覚

セキュリティ企業のSymantec社が発表したレポートによると、LockFileはPetitPotamと呼ばれる攻撃手法を利用して企業のWindowsドメインコントローラを乗っ取り、ファイルを暗号化するソフトウェアを企業のワークステーションに展開します。

Windowsパスワードハッシュを強制的に共有させられる全Windowsに影響する脆弱性が発見:PetitPotam: PrintNightmare、SeriousSAMに続き3つ目の深刻な脆弱性

PetitPotam攻撃とProxyShell脆弱性の詳細は、それぞれ7月末と8月初旬に公開されており、サイバー犯罪組織は実証可能コードが公開されると非常に迅速に武器にすることを改めて示しています。

Symantec社によると、このグループはすでに少なくとも10の組織を攻撃しており、被害者の多くは米国とアジアに拠点を置いている企業が被害にあっています。

ERROR: The request could not be satisfied
symantec-enterprise-blogs.security.com

この攻撃者は、Microsoft Exchange Serverを介して被害者のネットワークにアクセスし、パッチの適用が完了していないPetitPotam脆弱性を利用してドメインコントローラにアクセスし、ネットワーク全体に拡散していくことが示唆されています。攻撃者がどのようにしてMicrosoft Exchange Serverへの最初のアクセスを得るのかは明らかではありません。

同社は「LockFileランサムウェアは、2021年7月20日に米国の金融機関のネットワーク上で初めて観測され、最近では8月20日にもその活動が確認されている」と発表しました。

現在、このランサムウェアの活動に関する詳細はまだ不明で、分かっていることはLockFileが、最近使用が急増している有名なランサムウェアグループであるLockBitが使用するランサムノートのビジュアルスタイルを模倣しようとしていることです。

LockFileグループがシステムにアクセスするのを防ぐために、企業はPetitPotamとProxyShellの脆弱性に対するパッチを適用することをお勧めします。

PetitPotamのパッチと緩和策

PetitPotamのパッチと緩和策の詳細は下記をご覧ください。

Security Update Guide - Microsoft Security Response Center
msrc.microsoft.com

攻撃者はどのようにしてこの脆弱性を悪用するのですか?

認証されていない攻撃者が LSARPC インターフェースのメソッドを呼び出し、ドメインコントローラーに NTLM を使用した別のサーバーに対する認証を強要する可能性があります。このセキュリティアップデートは、影響を受けるLSARPCインターフェイスを介したAPIコールOpenEncryptedFileRawAおよびOpenEncryptedFileRawWをブロックします。

システムを保護する方法について、さらに詳しい情報はありますか?

はい、あります。ADV210003 Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS) をご覧ください。

セキュリティ更新プログラムを適用した後、システムを保護するためにさらに必要なアクションはありますか?

はい、あります。システムを保護するために必要な手順の詳細については、KB5005413を参照してください。なお、この脆弱性を、注意喚起されているNTLM Relay Attacks on Active Directory Certificate Services (AD CS)と連鎖させると、複合的なCVSSスコアは9.8となります。

2021年8月10日に公開されたセキュリティ更新プログラムを適用する際、ドメインコントローラの更新を優先すべきですか?

はい、この脆弱性はすべてのサーバに影響しますが、セキュリティアップデートの適用に関しては、ドメインコントローラを優先してください。

このCVEに対応したアップデートをインストールすることで、環境にはどのような影響がありますか?

バックアップソフトウェアでよく使用されるEFS APIのOpenEncryptedFileRaw(A/W)は、Windows Server 2008 SP2を実行しているシステムとの間でバックアップを行う場合を除き、すべてのバージョンのWindows(ローカルおよびリモート)で引き続き動作します。OpenEncryptedFileRawは、Windows Server 2008 SP2では動作しなくなります。

ProxyShellのセキュリティパッチは、5月および7月のWindowsセキュリティアップデート(CVE-2021-31207、CVE-2021-34473、CVE-2021-34523)に同梱されています。

Comments

Copied title and URL