Microsoft Exchangeサーバに影響を与える深刻度の高い脆弱性を積極的に悪用するための概念実証のエクスプロイトコードがオンラインで公開されました。
CVE-2021-42321として追跡されているこのセキュリティバグは、オンプレミスのExchange Server 2016およびExchange Server 2019(顧客がExchangeハイブリッドモードで使用しているものを含む)に影響を与え、2021年11月のPatch Tuesdayでパッチが適用されています。
攻撃に成功すると、認証された攻撃者が脆弱なExchangeサーバー上でリモートでコードを実行することができます。
CVE-2021-42321のパッチが発行されてから約2週間後、研究者のJanggggg氏はExchangeのpost-auth RCEバグに対する概念実証のエクスプロイトを公開しました。
このPoCは、ターゲット上でmspaint.exeを実行するだけで、成功した攻撃イベントのシグネチャパターンを認識するために使用することができます。
直ちにパッチを当てるように警告
マイクロソフトは、Exchange 2016および2019における認証後の脆弱性である脆弱性の1つ(CVE-2021-42321)を利用した限定的な標的型攻撃が、実世界で発生していることを把握しているとしています。
「推奨する方法は、お客様の環境を保護するためにこれらの更新プログラムを直ちにインストールすることです。」と述べ、Exchange管理者にパッチを適用するよう促しています。
まだオンプレミスサーバーのこのセキュリティ脆弱性にパッチを適用していない場合は、最新バージョンのExchange Server Health Checkerスクリプトを使用して、更新が必要な環境内のすべてのExchangeサーバーのインベントリを簡単に作成することができます。
脆弱性のあるExchangeサーバーがすでにCVE-2021-42321の悪用を受けているかどうかを確認するには、各Exchangeサーバーで次のPowerShellクエリを実行し、イベントログ内の特定のイベントをチェックする必要があります。
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "BinaryFormatter.Deserialize" }
オンプレミスのExchangeサーバーへの攻撃
Exchangeは、2021年に入ってからProxyLogonとProxyShellのセキュリティ脆弱性を狙った2つの大規模な攻撃の波に対処する必要があります。
国家支援ハッカーは、ProxyLogonを悪用して、3月初旬からWebシェル、クリプトマイナー、ランサムウェアなどのマルウェアを展開しています。
これらの攻撃では、世界中の数万の組織が所有する25万台以上のMicrosoft Exchangeサーバが標的となりました。
その4ヵ月後、米国とEU、英国、NATOなどの同盟国は、これらの広範なMicrosoft Exchangeハッキング攻撃の原因は中国にあると公式に発表しました。
また、8月には、セキュリティ研究者がProxyShellの脆弱性を再現したことを受けて、ProxyShellの脆弱性を利用したExchangeサーバのスキャンと侵入が開始されました。
当初、ProxyShellの脆弱性を利用して投下されたペイロードは無害でしたが、攻撃者はその後、Windows PetitPotamの脆弱性を利用してハッキングされたWindowsドメインにLockFileランサムウェアのペイロードを投下するようになりました。
この最新の脆弱性(CVE-2021-42321)により、攻撃者が脆弱なシステムをスキャンして侵害しようとしているのをすでに目にしています。
Microsoft Exchangeは、標的となる企業のネットワークに最初にアクセスするための一般的なターゲットとなっているため、サーバーには最新のセキュリティパッチを適用しておくことを強く推奨されています。
Comments