Microsoftは、オンプレミスのMicrosoft Exchangeに影響を与えるProxyShellの脆弱性について、ようやくガイダンスを発表しました。
ProxyShellは、Devcoreのセキュリティ研究者Orange Tsai氏が発見した3つのセキュリティ上の欠陥(4月と5月にパッチが適用されている)の集合体で、同氏はPwn2Own 2021のハッキングコンテストでこれらの欠陥を悪用しMicrosoft Exchangeサーバを侵害できることを証明していました。
- CVE-2021-34473 – Pre-auth パスの混乱による ACL バイパス (4 月に KB5001779 でパッチ適用)
- CVE-2021-34523 – Exchange PowerShell バックエンドでの特権の昇格 (4 月に KB5001779 でパッチ適用)
- CVE-2021-31207 – 認証後の任意のファイル書き込みによる RCE の発生 (5 月に KB5003435 でパッチ適用)
マイクロソフトは2021年5月までにProxyShellのバグのパッチを提供していましたが、7月まで脆弱性のCVE IDを割り当てなかったため、パッチを当てていないサーバーを持つ一部の企業が、ネットワーク上に脆弱なシステムがあることを発見することができませんでした。
セキュリティ研究者や米国のCybersecurity and Infrastructure Security Agency(CISA)は、8月初旬に発生したProxyShellを悪用した攻撃を防御するため、管理者に対してExchangeサーバにパッチを適用するようすでに警告していました。
しかし、マイクロソフト社は、これまでに活発な攻撃が行われていることを警告していたにもかかわらず、いままでユーザのオンプレミスのExchangeサーバが攻撃を受けていることを通知していませんでした。
マイクロソフトによると、ProxyShell攻撃をブロックするためには、顧客はサポートされている最新の累積更新プログラムのうち少なくとも1つと、適用されるすべてのセキュリティ更新プログラムをインストールする必要があります。
以下の条件のいずれかに当てはまる場合、Exchangeサーバーは攻撃に対して脆弱であることになります
- サーバーがサポートされていない古いCUを実行している。
- サーバーで、2021年3月にリリースされた、サポートされていない古いバージョンのExchangeのセキュリティアップデートが実行されている。
- サーバーが、2021年3月のEOMT緩和策が適用された、サポートされていない古いCUを実行している。
2021年3月に発生したExchangeへの攻撃は、中国国家の支援を受けたハッカーが行ったもので、ProxyLogonと総称される4つのゼロデイExchangeバグを狙った脆弱性を利用して、世界中の何万もの組織を攻撃しました。
これと同様に、セキュリティ研究者や脅威企業がProxyShellの脆弱性を再現しコードを公開したことで、攻撃者はProxyShellの脆弱性を利用してMicrosoft Exchangeサーバをスキャンし、ハッキングを開始しています。
最初Exchangeサーバに投下されたProxyShellのペイロードは無害でしたが、現在、攻撃者はWindows PetitPotamエクスプロイトを介して侵害されたWindowsドメインに配信されたLockFileランサムウェアのペイロードを展開しています。
この問題の規模を把握するために、セキュリティ企業のHuntress Labs社は、侵害された1,900台以上のMicrosoft Exchangeサーバ上に攻撃者が展開した140以上のウェブシェルを発見したと発表しました。
また、ShodanはProxyShell攻撃に脆弱な数万台のExchangeサーバーを追跡しており、そのほとんどが米国とドイツに存在していると警告しています。
NSAのサイバーセキュリティディレクターであるRob Joyce氏も、週末に「Microsoft Exchangeサーバの悪用が新たに急増している。インスタンスをホストしている場合は、確実にパッチを当てて監視する必要があります。」と警告しており、NSAは、3月に発表したWebシェルの探索に関するガイダンスが、現在進行中のProxyShell攻撃の防御にも使用できることを防御側に伝えています。
Comments