マイクロソフト エクスチェンジ

攻撃者は、攻撃を最初に発見して報告したベトナムのサイバーセキュリティ組織 GTSC のセキュリティ研究者の主張によると、まだ公開されていない Microsoft Exchange のゼロデイ バグを悪用して、リモート コード実行を可能にしています。

金曜日の朝、 Microsoft は、2 つの新しいゼロデイ脆弱性が攻撃に使用されており、CVE-2022-41040 および CVE-2022-41082 として追跡されていることを確認しました。また、GTSC の軽減策 (以下で共有) が攻撃のブロックに成功していることも確認しました。

攻撃者は、永続化とデータの盗難のために侵害されたサーバーに中国の Chopper Web シェルを展開し、被害者のネットワーク上の他のシステムに横方向に移動するために、ゼロデイのペアを連鎖させています。

「脆弱性は非常に重大であることが判明したため、攻撃者は侵害されたシステムで RCE を実行できます」と研究者は述べています。

GTSC は、Web シェルのコード ページ (簡体字中国語の Microsoft 文字エンコーディング) に基づいて、中国の脅威グループが攻撃に関与していると疑っています。

Web シェルのインストールに使用されるユーザー エージェントも、Web シェル管理をサポートする中国ベースのオープンソース Web サイト管理ツールである Antsword に属しています。

Microsoft は、これまでのところ 2 つのセキュリティ上の欠陥に関する情報を開示しておらず、それらを追跡するための CVE ID をまだ割り当てていません。

研究者は、アナリストが問題を検証した後、ZDI -CAN-18333およびZDI-CAN-18802としてそれらを追跡するZero Day Initiativeを通じて、3 週間前にマイクロソフトに非公開でセキュリティの脆弱性を報告しました。

「GTSC は、脆弱性を直ちに Zero Day Initiative (ZDI) に提出し、Microsoft と協力して、できるだけ早くパッチを準備できるようにしました」と彼らは付け加えました。 「ZDI は、CVSS スコアが 8.8 と 6.3 の 2 つのバグを検証して認めました。」

Trend Micro は木曜日の夜にセキュリティ アドバイザリをリリースし、GTSC によって発見された 2 つの新しい Microsoft Exchange ゼロデイ脆弱性を Microsoft に提出したことを確認しました。

同社はすでに、これらのゼロデイの検出機能を IPS N-Platform、NX-Platform、または TPS 製品に追加しています。

GTSC は、これらのゼロデイ バグに関する詳細をほとんど公開していません。それでも、同社の研究者は、このエクスプロイト チェーンで使用されるリクエストが、 ProxyShell の脆弱性を標的とする攻撃で使用されるリクエストと類似していることを明らかにしました。

エクスプロイトは次の 2 段階で機能します。

  1. ProxyShell の脆弱性と同様の形式のリクエスト: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com
  2. 上記のリンクを使用して、RCE を実装できるバックエンドのコンポーネントにアクセスします。

「これらの Exchange サーバーのバージョン番号は、最新の更新プログラムが既にインストールされていることを示していたため、Proxyshell の脆弱性を利用した悪用は不可能でした」と研究者は述べています。

一時的な緩和が利用可能

Microsoft が 2 つのゼロデイに対処するためのセキュリティ更新プログラムをリリースするまで、GTSC は、URL 書き換えルール モジュールを使用して新しい IIS サーバー ルールを追加することにより、攻撃の試みをブロックする一時的な軽減策を共有しました。

  1. フロントエンドの自動検出で、[URL 書き換え] タブを選択し、[要求のブロック] を選択します。
  2. 文字列「 .*autodiscover.json.*@.*Powershell.* 」を URL パスに追加します。
  3. 条件入力: {REQUEST_URI} を選択

GTSC は、「Microsoft Exchange Server を使用している世界中のすべての組織/企業が、潜在的な深刻な損害を回避するために、上記の一時的な救済策をできるだけ早く確認、確認、および適用することをお勧めします」と付け加えました。

このエクスプロイトを使用して Exchange サーバーが既に侵害されているかどうかを確認したい管理者は、次の PowerShell コマンドを実行して IIS ログ ファイルをスキャンし、侵害の痕跡を見つけることができます。

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover.json.*@.*200'

Microsoft と ZDI のスポークスパーソンは、本日 BleepingComputer から連絡を受けたとき、すぐにはコメントできませんでした。

これは発展途上の話です。

Update 9/29/22 7:02 PM EST: 2 つのゼロデイに関するトレンドマイクロのアドバイザリに関する情報を追加。
Update 9/30/22 09:50 AM EST: Microsoft による確認を追加しました。