** 本記事は、Two Exchange Server vulns veer dangerously close to ProxyShell の翻訳です。最新の情報は英語記事をご覧ください。**
まだ Microsoft による公式発表はありませんが、10 月 11 日の月例セキュリティ更新以降 (あるいはそれ以前から)、Exchange Server が話題を集めそうです。Exchange Server 2013、2016、2019 の各バージョンに影響を与える 2 件 1 組の脆弱性が、頻繁に悪用される PowerShell と共に攻撃に利用され、大きな脅威となっています。セキュリティ企業 GTSC によるエクスプロイトの公開後、Microsoft は通常の修正スケジュールに先駆け、本件 (「限定的かつ標的型だが、現実の脅威」だとしています) についてのガイダンスを発表しました。
ソフォスのお客様は、この攻撃の影響を受けません。ソフォスは既存のプロアクティブなランタイム保護を補完するため、新しいネットワーク IPS シグネチャおよび新しいエンドポイントマルウェア対策検出をリリースしました。エンドポイント IPS および Sophos XG Firewall 両用の IPS シグネチャ (sid:2307757)、さらには攻撃に関連する Web シェルの検出用の Troj/WebShel-EC および Troj/WebShel-ED です。(全アップデートの一覧は本記事末尾の表をご確認ください。)さらに、挙動検知ルール Exec_30a および Lateral_1b が、それぞれ IIS を介した PowerShell の悪用を阻止するため、およびcertutil のダウンロードコマンドラインをブロックするために設計されています。どちらも、今回の攻撃に関連する戦術として報告されているものです。
Sophos X-Ops チームが調査したところ、Microsoft はこの攻撃が特定の、少数の標的を狙ったものだと正しく認識しているようです。実際、これまでのところ、ソフォスのデータベースに同種の攻撃の証拠は発見されていません。しかし、攻撃が公開されたということは、他の攻撃者もこの攻撃手法を採用し、利用しようとすることを意味します。そのため、提供された緩和策に従うとともに、Microsoft のパッチが公開され次第、迅速に適用することをおすすめします。
システム管理者を支援するために、Exchange チームはサジェストされた修正を自動的に適用する PowerShell スクリプトをリリースしました。また、Microsoft の Exchange Emergency Mitigation Service (EEMS) を有効にしているユーザー向けに、Exchange Server 2016 および Exchange Server 2019 の URL Rewrite 機能の緩和策を公開しました。この緩和策は自動的に適用されるとしています。最後に、Microsoft は企業に対し、可能であれば管理者以外に PowerShell へのアクセス権を付与しないことを推奨しています。
具体的には、今回の攻撃に関わる脆弱性はサーバーサイドリクエストフォージェリ (SSRF) の脆弱性である CVE-2022-41040 と、PowerShell へのアクセス権を利用したリモートコード実行 (RCE) を可能にする CVE-2022-41082 の 2 件だと Microsoft は指摘しています。
サーバーサイドリクエストフォージェリ (SSRF) の脆弱性を利用すると、攻撃者は悪意のある URL を介して脆弱なサーバーを攻撃し、本来アクセスできないはずの情報やサービスにアクセスさせたり、情報やサービスを操作したりできます。たとえば、攻撃者は SSRF の脆弱性を利用して、通常ではアクセスできない Web サーバー上のファイルにアクセスするようサーバーに指示できます。2021 年の Exchange Server に対する攻撃の主な侵入口になったのが、別の Exchange SSRF の脆弱性である CVE-2021-26855 だということは注目に値します。今回報告された攻撃では、新しい SSRF の脆弱性である CVE-2022-41040 が同様の役割、つまりは攻撃のフロントドアとしての役割を果たしていると考えられています。
昨年の ProxyShell と同様に、今回の攻撃では、SSRF の脆弱性を利用したエクスプロイトと、別の脆弱性を利用したエクスプロイトが組み合わされているようです。昨年の攻撃では、SSRF の脆弱性 CVE-2021-26855 が CVE-2021-26857 と組み合わされて権限昇格に利用され、その後 CVE-2021-26858 または CVE-2021-27065 を用いてシステム上でコードが実行されました。今回の攻撃では、SSRF の脆弱性 CVE-2022-41040 が CVE-2022-41082 と組み合わされ、攻撃者が PowerShell のアクセス権を持っている場合、上述のように PowerShell を介したリモートコード実行を行います。興味深いことに、この攻撃チェーンでは、他の権限昇格の脆弱性は必要としません。おそらく、CVE-2022-41082 が SYSTEM 権限で実行できるためでしょう。
GTSC の報告によると、CVE-2022-41040 と CVE-2022-41082 を組み合わせた攻撃チェーンが実行されると、攻撃者はこのチェーンを使用して侵害されたシステム上に Web シェルをロードし、サーバーの制御権を掌握して、ネットワークに足場を固めます。
CVE-2022-41040 を利用するにはユーザーが認証されている必要がありますが、多くの Exchange Server、特に Outlook Web Access (OWA) を実行しているものに対しては、現実的で簡単な攻撃手法です。
Microsoft が認識しているかは不明ですが、危惧すべきことに、攻撃者は早くも脆弱性の利用を始めています。Twitter では、Kevin Beaumont 氏が攻撃の報告について一連のスレッドで検討しています。このスレッドでは、GTSC と関係のある研究者が 2022 年 8 月にこれらの脆弱性を報告し、その後、有名な ZDI バグ報奨金プログラムに問題が報告されたとしています。発見されたバグは通常の方法で Microsoft に開示されましたが、GTSC は、同社 SOC の顧客がしばしば攻撃の影響を受けており、さらに Microsoft から今後のパッチについての連絡がなかったことから、判明している事実を広く一般に公開することにしました。
GTSC は、SOC のアナリストが IIS のログに ProxyShell 脆弱性の痕跡と同じ形式のエクスプロイトリクエストを発見したことがきっかけで、独自の発見をしました。この 2 件の脆弱性が最初に報告されて以来、 ソフォスの MTR をはじめとする世界中の Managed Detection and Response (MDR) サービスは、インシデントの痕跡が無いか、これまで以上に綿密にログを確認するようになりました。Microsoft の「限定的かつ標的型」攻撃だという主張が、今のところ信憑性のある理由の 1 つです。
Microsoft は、必要な修正は「加速されたタイムライン」だと主張しています。この文言は通例、Microsoft ができるだけ早くパッチの発行を行おうと急いでいることを意味しています。10 月 11 日に予定されている月例パッチのリリースより前になるかもしれません。
この 2 件の脆弱性の今後の展開によらず、今後数か月の間、通常の月例パッチで Exchange に関するアップデートが行われる可能性は十分あります。9 月にはパッチは適用されませんでしたが、8 月には Exchange に 6 件の修正 (外部研究者が発見した Critical (緊急) クラスの権限昇格の脆弱性 2 件および情報漏洩のゼロデイ脆弱性を含む) があり、今年に入ってから発行された 12 件のパッチのうちの半数を占めています。2021 年は Exchange Server にとって苦難の年でした。Microsoft はこの年に予定していた次期バージョンのリリースを 2025 年後半に延期せざるを得なくなったほどです。今年パッチが発行された Exchange の脆弱性の数は Windows (あるいは Azure) の脆弱性に比べると少なくなっていますが、Exchange にはパッチが当てづらく、古いバグ (2021 年半ばにパッチが当てられた ProxyShell バグを含む) に残ったままのサーバーが高い割合で存在しています。
Exchange Server の脆弱性 CVE-2022-41040 および CVE-2022-41082 に対処するため、XG および SG シグネチャが以下のように更新されました。
製品 | シグネチャ ID |
EIPS | 2307757、2307762 |
XG | 2307757, 27966, 27967, 27968, 28323, 37245, 42834, 42835, 42836, 42837, 42838, 60637, 60638, 60639, 60640, 60641, 60670 60671, 60672, 60673, 60674, 60675, 60676, 60677, 60678, 57906, 57907, 57908, 57983, 2307762 |
UTM/SG | 27966, 27967, 27968, 28323, 37245, 42834, 42835, 42836, 42837, 42838, 60637, 60638, 60639, 60640, 60641, 60642, 60670 60671, 60672, 60673, 60674, 60675, 60676, 60677, 60678, 57906, 57907, 57908, 57983 |
今回の攻撃にはついては、Chester Wisniewski を迎えた、こちらの回の Naked Security Podcast でも詳しく紹介しています。
ポッドキャストを聴くよりも、テキストをお読みになりたい方は、こちらでトランスクリプト全文 (英語) をご覧ください。