ProxyNoShell: ProxyShell の脆弱性を悪用する戦術の変化

proxyshell attack paths news

2021 年 9 月、Mandiant は、総称して ProxyShell と呼ばれるオンプレミスの Microsoft Exchange Server の 3 つの脆弱性の広範な悪用について、 Mandiant Managed Defenseチームからブログ投稿を公開しました。 2021 年 4 月に開示が行われ、2021 年 4 月と 5 月にパッチがリリースされたにもかかわらず、Mandiant のインシデント レスポンス チームは、最近では 2021 年 11 月になっても、これらの脆弱性の悪用に起因する侵害に対応し続けており、インターネットに接続された脆弱なサーバーが最大 30,000 台も存在していると推定しています。 .

  • CVE-2021-34473 – Microsoft Exchange Server のリモートでコードが実行される脆弱性
  • CVE-2021-34523 – Microsoft Exchange Server の権限昇格の脆弱性
  • CVE-2021-31207 – Microsoft Exchange Server のセキュリティ機能バイパスの脆弱性

Mandiant は、最近のいくつかのインシデント対応業務において、攻撃者が以前に報告されたものとは異なる方法で脆弱性を悪用していることを確認しています。最も注目すべきは、メールボックス エクスポートの代わりに交換証明書要求のエクスポートを介した Web シェルの書き込み、およびエクスプロイト チェーンの最初の 2 つの脆弱性を悪用して、リモート PowerShell を達成し、新しいメールボックスを作成し、それらに他のメールボックスへの特権アクセスを割り当て、次にアクセスすることです。それらは Outlook Web Access (OWA) 経由で。 Mandiant は、以前に発行された検出と対応のガイダンスが、メールボックス エクスポートから発生した Web シェルのみに焦点を当てていたため、これらの戦術の変更を報告しています。

ProxyShell 脆弱性による攻撃パス

ProxyShell 脆弱性チェーンの第 2 段階の悪用に成功すると、攻撃者は、リモート PowerShell が有効になっているターゲット ユーザー (特に管理者権限を持つユーザー) のコンテキスト内で、リモート PowerShell を介して任意のMicrosoft Exchange PowerShell コマンドレットを実行できます。リモート PowerShell は、Microsoft Exchange で既定でユーザーに対して有効になっています

悪用のこの第 2 段階で、Mandiant は、攻撃者が Web シェルまたはメールボックスへのアクセスのいずれかにつながる 3 つの攻撃パスのいずれかを使用することを観察しましたが、利用可能な Exchange PowerShell コマンドレットのいずれかが実行される可能性があり、攻撃者に完全な Exchange 管理機能を提供します。図 1 は、これらのパスの概要を示しています。

proxyshell attack paths
図 1: 攻撃経路

Mandiant は、電子メール アイテムの閲覧や、エクスプロイト後のツールやランサムウェアの展開など、これらの攻撃パスに由来する複数のアクションを観測しています。

Web シェルを作成する New-MailboxExportRequest

Web シェルを達成するための広く報告されている攻撃パスは、Exchange Web サーバー (EWS) を介してターゲット メールボックス内にアイテムを作成することです。Mandiant は、これがエンコードされた添付ファイルを含む下書きの電子メール アイテムであることを確認し、その後、. New-MailboxExportRequest コマンドレット (メールボックスのインポート/エクスポート アクセス許可の割り当て後)。特別に細工された添付ファイルを含むメールボックス アイテムを書き込むと、PST ファイル形式へのエクスポート時に添付ファイルがデコードされるため、Web シェルが機能します。このパスは、エクスプロイト チェーンを発見して公開した DEVCORE リサーチ チームの Orange Tsai (@orange_8361) によるプレゼンテーションと記事で実証されました。 Mandiant は、2021 年 8 月以降、このパスが悪用されていることを確認しています。このパスの詳細については、Mandiant の以前のブログ投稿を参照してください。

Web シェルを作成するための New-ExchangeCertificate

2021 年 9 月以降、Mandiant は、脅威アクターが New-ExchangeCertificate コマンドレットを使用して、システム証明書ストアを介して証明書要求内の Web シェル コードを保存することを確認しています。 Web シェル コードは「SubjectName」パラメーターに提供され、「RequestFile」パラメーターで指定されたパスでディスクに保存されます。この方法で作成された Web シェルは、証明書要求の拡張子 (.aspx.req) を持つディスク上で確認されています。図 2 は、これを実現するために実行されるコマンドレットの例を示しています。

Web シェルを作成するための New-ExchangeCertificate コマンドレット
図 2: Web シェルを作成するための New-ExchangeCertificate コマンドレット

Mandiant は、Windows レジストリのシステム証明書ストア (図 3) 内で Web シェル コードを検索することにより、侵害の以前の証拠を特定しました。このコードは、PowerShell ログがロールオーバーされた後も残っていました。

証明書ストア内の証明書要求のレジストリ キー
図 3: 証明書ストア内の証明書要求のレジストリ キー

新しいメールボックスの作成と他のメールボックスへのアクセス許可の割り当て

2021 年 8 月以降、Mandiant は、攻撃者が New-Mailbox コマンドレットを使用して新しいメールボックスを作成し、次に Add-RoleGroupMember コマンドレットを使用して特権ロールを割り当てるか、Add-MailboxPermission コマンドレットを使用して他のメールボックスにフル アクセス許可を明示的に割り当てることを確認しています。場合によっては、Mandiant は、パラメータ ‘HiddenFromAddressListsEnabled’ を True に設定して Set-Mailbox コマンドレットを実行することにより、これらの新しく作成されたメールボックスを Exchange アドレス リストから隠している攻撃者も確認しています。

Mandiant は、攻撃者が制御するメールボックスが、Outlook Web Access (OWA) を介して他のメールボックスにアクセスするために使用されていることを確認しました。攻撃者によって設定された新しいメールボックスへのメールボックス資格情報を使用すると、電子メール クライアントなど、環境内で構成された他の手段を介してアクセスすることもできますが、Mandiant はこの手段によるアクセスを直接観察していません。

Exchange 分割アクセス許可 (Active Directory 分割アクセス許可モデル) が構成されていない構成では、Mandiant は New-Mailbox コマンドレットが Active Directory 内にユーザー オブジェクトを作成することを確認しました。これが発生すると、攻撃者は、企業の VPN、ファイル共有プラットフォーム、ソフトウェア開発プラットフォーム、ナレッジ管理アプリケーションなど、ドメイン認証を使用するより広いドメインまたはサービスで認証できる可能性があります。 Mandiant は、この手段によるアクセスを直接観測したことはありません。

監視と調査

Mandiant は、現在または以前に脆弱な Exchange サーバーの侵害を監視または調査することをお勧めします。

New-MailboxExportRequest によるエクスプロイトのためのメールボックス内のアイテムのリモート作成の調査、および他のすべての攻撃パスに対するリモートの認証されていない PowerShell の調査など、Mandiant の以前のブログ投稿の監視と調査のポイントは引き続き適用されます。

この投稿の観察に基づく監視と調査の更新は次のとおりです。

  • Web シェルを作成するための New-ExchangeCertificate
    • New-ExchangeCertificate PowerShell コマンドレットの実行。’RequestFile’ に Web ファイル拡張子 (.ASPX) が含まれているか、’SubjectName’ に Web シェル コードが含まれており、新しい証明書要求を介して Web シェルを削除しようとしていることを示しています。
    • ASPX として保存された証明書要求ファイルを示す拡張子「.ASPX.REQ」を持つファイルの識別
    • デコードされたシステム証明書ストア内の Web シェル コードの識別 Exchange サーバー上の Blob 値 (HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesREQUESTCertificates<Certificate Thumbprint/ID>Blob)
  • 新しいメールボックスの作成と他のメールボックスへのアクセス許可の割り当て
    • New-Mailbox PowerShell コマンドレットの実行は、正当な管理アクティビティにリンクされていないか、認証されていないリモート PowerShell から発信されています
    • 「組織管理」または「アプリケーションの偽装」の役割が割り当てられた、または他のメールボックスへの「フル アクセス」が割り当てられた、承認されていないアカウントの識別
    • Exchange アドレス リストに隠されている不正なアカウントの識別
    • OWA またはその他の電子メール アクセス手段による不正アクセスの識別

予防と修復

Mandiant の以前のブログ投稿からの防止と修復のガイダンスは、最も重要な脆弱性に対するパッチの適用を含め、引き続き適用されます。

不正なアカウントまたは Web シェルが特定された場合、Mandiant は、Exchange インフラストラクチャとより広いドメイン内の両方の環境で、攻撃者のアクセスを特定するために完全な調査を行うことをお勧めします。

謝辞

エイドリアン・サンチェス・ヘルナンデス、アシェリー・ザヤ、ゴヴァンド・シンジャリ、マシュー・ポタチェク、ニック・リチャード、ヤシュ・グプタ

参照: https://www.mandiant.com/resources/blog/change-tactics-proxyshell-vulnerabilities

Comments

タイトルとURLをコピーしました