マイクロソフト エクスチェンジ

Microsoft は、Microsoft Exchange Server 2013、2016、および 2019 で最近報告された 2 つのゼロデイ脆弱性が実際に悪用されていることを確認しました。

「CVE-2022-41040 として識別される最初の脆弱性は、サーバー側のリクエスト フォージェリ (SSRF) の脆弱性であり、CVE-2022-41082 として識別される 2 番目の脆弱性は、PowerShell がアクセス可能な場合にリモート コード実行 (RCE) を可能にします。攻撃者」 と Microsoft は述べています。

「現時点で、Microsoft は 2 つの脆弱性を利用してユーザーのシステムに侵入する限定的な標的型攻撃を認識しています。」

同社は、CVE-2022-41040 の脆弱性は、認証された攻撃者によってのみ悪用される可能性があると付け加えました。悪用に成功すると、CVE-2022-41082 RCE の脆弱性をトリガーできるようになります。

Microsoft によると、Exchange Online の顧客は、顧客を保護するための検出と軽減策を講じているため、現時点では何の措置も講じる必要はありません。

「マイクロソフトはまた、これらの悪意のあるアクティビティに対して既に展開されている検出を監視しており、顧客を保護するために必要な対応措置を講じます。 [..] 修正プログラムをリリースするためのタイムラインを加速するよう取り組んでいます」とマイクロソフトは付け加えました。

進行中の攻撃を最初に報告したベトナムのサイバーセキュリティ組織である GTSC によると、ゼロデイは連鎖して中国の Chopper Web シェルを展開し、持続性とデータ窃盗を行い、被害者のネットワークを横方向に移動します。

GTSC はまた、Web シェルのコード ページ (簡体字中国語の Microsoft 文字エンコーディング) に基づいて、中国の脅威グループが進行中の攻撃に関与している可能性があると疑っています。

この脅威グループは、侵害されたサーバーにそれらをインストールするために使用されたユーザー エージェントによって明らかにされたように、Antsword 中国のオープンソース Web サイト管理ツールを使用して Web シェルも管理します。

軽減可能

Redmond は、昨日 GTSC によって共有された緩和策も確認しました。GTSC のセキュリティ研究者は、3 週間前にZero Day Initiativeを通じて 2 つの欠陥を非公開で Microsoft に報告しました。

「オンプレミスの Microsoft Exchange のお客様は、次の URL 書き換え手順を確認して適用し、公開されたリモート PowerShell ポートをブロックする必要があります」と Microsoft は付け加えました。

「現在の軽減策は、「IIS マネージャー -> 既定の Web サイト -> 自動検出 -> URL 書き換え -> アクション」にブロック ルールを追加して、既知の攻撃パターンをブロックすることです。

脆弱なサーバーに緩和策を適用するには、次の手順を実行する必要があります。

  1. IIS マネージャーを開きます。
  2. 既定の Web サイトを展開します。
  3. 自動検出を選択します。
  4. 機能ビューで、[URL 書き換え] をクリックします。
  5. 右側の [操作] ウィンドウで、[ルールの追加] をクリックします。
  6. [リクエストのブロック] を選択し、[OK] をクリックします。
  7. 文字列「.*autodiscover.json.*@.*Powershell.*」(引用符を除く) を追加し、[OK] をクリックします。
  8. ルールを展開し、パターンが “.*autodiscover.json.*@.*Powershell.*” のルールを選択し、[条件] で [編集] をクリックします。
  9. 条件入力を {URL} から {REQUEST_URI} に変更します

脅威アクターは、CVE-2022-41082 のエクスプロイトを介してリモート コード実行のために、公開された脆弱な Exchange サーバー上の PowerShell Remoting にアクセスすることもできるため、Microsoft は管理者に次のリモート PowerShell ポートをブロックして攻撃を阻止するようアドバイスしています。

  • HTTP: 5985
  • HTTPS: 5986

GTSC は昨日、Exchange サーバーが既に侵害されているかどうかを確認したい管理者は、次の PowerShell コマンドを実行して IIS ログ ファイルをスキャンし、侵害の痕跡を見つけることができると述べました。

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'