最近報告された Microsoft Exchange Server のゼロデイ脆弱性群が、情報セキュリティ業界を揺るがしています。世界中の組織が影響を受けており、その数は 10 万を超え、日に日に増加しているとも言われます。
これらの脆弱性を利用した攻撃は当初、Hafnium と名付けられた国家的攻撃グループによるものとされていましたが、主要な脆弱性にちなんで「ProxyLogon」と呼ばれるようになっています。
これまでに確認された一般的な ProxyLogon 攻撃は、脆弱な Exchange Server が悪用され、それらのサーバーに Web シェルがドロップされるというものです。しかし、これらのゼロデイのニュースが広まるにつれ、便乗型攻撃者たちがこれらの Web シェルを探し始めました。なぜなら、当該の Web シェルを発見できれば、ネットワークに侵入する手立てがなくても、ランサムウェアやクリプトマイナーを展開したり、その他の攻撃を仕掛けたりする近道になるからです。
Sophos Managed Threat Response (MTR) のシニアディレクター Mat Gangwer は、次のように述べています。「たとえパッチが適用されたシステムであっても、これらの Web シェルはインストールされた後、いつでも起動が可能であるため危険です。さらに問題なのは、誰でも使用できるという点です。ドロップした最初の攻撃者でなくても起動することができます。最初は国家的攻撃であったかもしれませんが、今はそうではありません。」
これまで MTR のお客様企業は、ランサムウェアやクリプトマイナーのレベルにまで進んだ攻撃を確認していませんが、Microsoft は、脆弱性のある Exchange Server や、Exchange 攻撃が成功した後に残された Web シェルを標的とした新たなランサムウェアの脅威「a href=”https://news.sophos.com/ja-jp/2021/03/23/dearcry-ransomware-what-it-is-and-how-to-stop-it-jp/” target=”_blank” rel=”noopener”>DearCry」を報告しています。
まずはパッチを適用してください
標的デバイスにドロップされた Web シェルは、今後攻撃が発生する原因となる可能性がありますが、最初に実行すべき対策は、すべての Exchange Server に元々のゼロデイ脆弱性を修正するパッチを適用することです。パッチの適用が必要なゼロデイ脆弱性は 4 つあります。「ProxyLogon」とも呼ばれる CVE-2021-26855は、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性です。この脆弱性を CVE-2021-27065 (認証後に任意のファイルへの書き込みが可能な脆弱性) と組み合わせることで、攻撃者はリモートでのコード実行が可能になります。さらに、CVE-2021-26857 と CVE-2021-26858 は、Exchange Server への攻撃に利用されています。
Microsoft は、Exchange Server 2013、2016、2019 に対するパッチを緊急リリースしました。また、Exchange Server 2010 については、CVE-2021-26857 に対してのみ脆弱性があるため、このバージョンの多層防御機能の更新プログラムをリリースしました。
Microsoft によると、Exchange Server 2003、2007 には脆弱性が存在しません。
Microsoft は直ちにパッチを適用できない組織向けに、完全なパッチを適用できるまでの間、一時的に保護機能を提供する Exchange Mitigations スクリプトをリリースしました。
次のステップを決定するための調査
パッチの適用が完了したら、次のステップとして、Web シェルを探し、その Web シェルによって実行された可能性のあるアクティビティを調査し、そのアクティビティが「いつ」発生したかを確認します。
Microsoft では、ユーザーが影響を受けたかどうか、またどのように影響を受けたかを判断するためのツールやスクリプトを複数提供しています。ProxyLogon Powershell スクリプトは、Exchange と IIS のログをチェックして悪用が試みられたかどうかを判断しますが、その他の影響については情報を提供しません。
Microsoft は、Safety Scanner ツール (MSERT) の最新版を公開し、影響を受ける可能性のあるサーバー上の Web シェルをスキャンして削除できるようにしました。
ソフォスでは、ProxyLogon 攻撃に対して脆弱なユーザー向けに、確認された悪意のある Web シェルの亜種を阻止する数多くの保護機能を用意しています。Web シェルのアクティビティが検出された場合、Intercept X によってアラートが発行されるので、手動のクエリを Sophos EDR で実行して Web シェルをチェックすることができます。しかし、Gangwer は「念のため」、MSERT ツールを使用して Web シェルをダブルチェックすることをソフォスのお客様に強く推奨しています。
/* Query for known web shell names */ SELECT datetime(btime,'unixepoch') AS created_time, filename, directory, size AS fileSize, datetime(atime, 'unixepoch') AS access_time, datetime(mtime, 'unixepoch') AS modified_time FROM file WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%') AND filename IN ('web.aspx','help.aspx','document.aspx','errorEE.aspx','errorEEE.aspx','errorEW.aspx','errorFF.aspx','web.aspx','healthcheck.aspx','aspnet_www.aspx','aspnet_client.aspx','xx.aspx','shell.aspx','aspnet_iisstart.aspx','one.aspx','errorcheck.aspx','t.aspx','discover.aspx','aspnettest.aspx','error.aspx','RedirSuiteServerProxy.aspx','shellex.aspx','supp0rt.aspx','HttpProxy.aspx','system_web.aspx','OutlookEN.aspx','TimeoutLogout.aspx','Logout.aspx','OutlookJP.aspx','MultiUp.aspx','OutlookRU.aspx');
/* Query for web shells with randomized 8 character names */ SELECT datetime(btime,'unixepoch') AS created_time, regex_match(filename, '[0-9a-zA-Z]{8}.aspx', 0) AS filename, directory, size AS fileSize, datetime(atime, 'unixepoch') AS access_time, datetime(mtime, 'unixepoch') AS modified_time FROM file WHERE (path LIKE 'C:\inetpub\wwwroot\aspnet_client\%' OR path LIKE 'C:\inetpub\wwwroot\aspnet_client\system_web\%' OR path LIKE 'C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\%');
上記のクエリは、現在明らかになっている情報に基づいたものです。最新の情報については、sophos.com/hafnium (英語) をご覧ください。
既知の攻撃への対処
MTR チームはこれらのチェックを行った結果、組織が大きく 3 つに分類されることに気付きました。
- Web シェルの証拠を見つけられない組織。この場合、脆弱性が存在する可能性のあるすべての Exchange Server にパッチが適用されていれば、リスクは低くなりますが、すべての組織は独自のリスクしきい値に基づいて適切な対策を行う必要があります。
- Web シェルが発見されたが、悪意のあるアクティビティが 2 月末以降に発生していた組織。この場合の攻撃者は、Hafnium のニュースに乗じて被害者のデバイスに残された Web シェルを利用した便乗型攻撃者であると考えられます。そのため、Web シェルを通じてどのようなコマンドが発行されたかを特定することが、影響を判断する上で重要な次のステップとなります。
- Web シェルが発見されており、悪意のあるアクティビティが 2 月末より前に発生していた組織。この場合、組織は標的型攻撃を受けている可能性があるため、インシデント対応プロセスを実施して対処する必要があります。
ProxyLogon 攻撃の影響を受けていると判断した組織は、次のステップとして、攻撃がいつ発生し、どのような悪意のあるアクティビティが実行されているかを確認します。場合によっては、攻撃を受けて Web シェルをドロップされても、それ以外に悪意のあるアクティビティが実行されないこともあります。しかし、標的型攻撃やクリプトマイナー、あるいは DearCry などのランサムウェア攻撃をすでに受けている組織もあります。
Microsoft が公開している別のスクリプトは、攻撃者がどのような影響を与えたかを判断するのに役立つかもしれません。CompareExchangeHashes.ps1 スクリプトは、ベースラインの Exchange ディレクトリの既知の無害なハッシュと、サーバー上のハッシュをファイルごとに比較して、影響の度合いを確認します。Gangwer によると、このスクリプトでは誤検出が多くなりますが、「何かが起こっているかどうかを把握する包括的な方法であり、徹底調査を確実に実施することができます」。
多くの場合、MTR が発見した Web シェルは何もアクティビティを行っていなかったり、一般的な偵察しか行っていなかったりしますが、攻撃ははるかに複雑である可能性がある、と Gangwer は述べています。
次のようにも述べています。「Web シェルを発見し、コマンドを確認したところ認証情報へのアクセス、ラテラルムーブメント、データ窃取などを発見した場合には、直ちにインシデント対応を開始する必要があります。その時点で徹底的な調査が必要となるため、Rapid Response などのインシデント対応サービスを検討してください。」