2022 年 8 月初旬、ベトナムのサイバーセキュリティ研究グループ GTSC が、オンプレミスの Microsoft Exchange サーバーがリモートで侵害されるパッチ未適用のゼロデイ脆弱性を 2 件発見しました。Microsoft 社は、これらの脆弱性が限定的かつ的を絞った方法で悪用されていたことを確認しています。
これらの Microsoft 製品の脆弱性は、共通脆弱性識別子(CVE)プログラムでは CVE-2022-41040 および CVE-2022-41082 として採番されています。「41040」はサーバーサイドリクエストフォージェリ(SSRF)の脆弱性であり、これを介することで、認証済みの脅威アクターが「41082」を悪用できるようになります。SSRF は正規のサーバーを悪用してリソースにアクセスするか、あるいはリソースに変更を加えます。今回の場合、1 つ目の脆弱性が悪用されると、2 つ目の脆弱性によって PowerShell を介したリモートコード実行が可能となります。脅威アクターはその後、認証局(CA)の構成情報のダンプと表示、証明書サービスの構成、CA コンポーネントのバックアップと復元、および証明書、鍵ペア、証明書チェーンの検証に用いられる正規のユーティリティ certutil を利用する可能性があります。
Microsoft Exchange Server® のバージョン 2013、2016、2019 はすべて、これらの脆弱性の影響を受けます。Microsoft Exchange Online では、この脆弱性をブロックするための検知と緩和の手段が確立されています。
影響
Microsoft 社の複数の顧客が影響を受けた攻撃事例では、攻撃者がこの脆弱性を悪用し、RedirSuiteServiceProxy.aspx など、Exchange サーバーで利用できる正規の Exchange ファイルに偽装したバックドアスクリプトを展開していました。これらのバックドアスクリプトが展開されると、侵害されたサーバーを介して、認証情報を窃取するマルウェアが配信されます。より広範な脅威環境を見るとわかるように、このように認証情報を窃取する攻撃は、情報窃取やランサムウェアの展開など、さらなる攻撃の土台を築く可能性があります。
研究者の間では、よく知られた中国語ベースのオープンソース Web シェル Antsword(場合によっては SharPyShell)、および China Chopper が使用されていることから、この脆弱性に対する攻撃は中国に端を発するとの仮説が立てられています。
Microsoft 社の指摘によると、この脆弱性の悪用には脆弱な Exchange サーバーに対する認証済みアクセスが必要です。しかし、認証情報の窃取やソーシャルエンジニアリング攻撃の増加に伴い、脅威アクターが認証済みアクセスを取得することはますます容易になっています。
保護対策としては不十分な緩和策
これらの脆弱性が発見されて間もなく、Microsoft 社は推奨される緩和策を提示しました。その内容は、URL Rewrite エンジンを使用してブロックルールを作成し、PowerShell スクリプトで展開を自動化することにより、既知の攻撃パターンをブロックするというものです。
しかし、セキュリティ研究者はすぐさま、このブロックルールは規則が限定的すぎるため、容易に回避可能であることを明らかにしました。脅威アクターがこのルールに正確に一致しないように攻撃を調整した場合、侵害されたシステムは依然として脆弱なままとなります。
Microsoft 社はまた、管理者以外のユーザーによるリモートからの PowerShell アクセスを組織全体で無効化することを推奨しています。理想的には、この対策により、管理者以外のアカウントが侵害された場合の攻撃対象領域は減少します。しかしこれでも、システムは管理者の認証情報窃取に対しては脆弱なままです。
お客様のさらなる保護レイヤーを実現する BlackBerry の CylanceOPTICS
Microsoft 社が当初提示した緩和策は対策として不十分でしたが、一般的なベストプラクティスとして、これらの脆弱性に対する懸念がある場合は Microsoft 社のセキュリティレスポンスセンターの推奨事項に従うことを強くお勧めします。
BlackBerry® EDR(エンドポイント検知/対処)ソリューションの CylanceOPTICS® をご利用のお客様には、これらの脆弱性に対するさらなる保護レイヤーが用意されています。BlackBerry カスタマーポータルのマイアカウントから、BlackBerry の Threat Research チームが作成した CylanceOPTICS 用のルールがダウンロード可能です。具体的な手順については、ナレッジベースの記事 KB102471 をご確認ください。このルールは、今回紹介したゼロデイ脆弱性で利用されている手法を特定し、緩和する上での助けとなるはずです。
関連情報
- Microsoft ヘルプツールを武器化するOffice のゼロデイ攻撃、Follinaにご注意ください。
- APT インシデント対応における 13 の「大罪」— Part 1 (インシデント対応現場からの教訓)
- APT インシデント対応における 13 の「大罪」— Part 2
- ゼロデイ脆弱性とは?(英語)
- サイバー攻撃に備えるために(英語)
- 公開されたハッキングツール— Day in the Sun(英語)
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos