脅威リサーチ

フォーティネット、最新のMicrosoft Exchange Serverのエクスプロイトに対処

投稿者 FortiGuard Labs | 2021年3月11日

Microsoft Exchange Serverのバージョンの脆弱性を悪用した攻撃的なハッキングキャンペーンにより、米国内の3万もの企業や政府機関が標的となっており、一部の専門家は「何十万もの」Exchange Serverが世界中で悪用されていると主張しています。マイクロソフトは、これらの脆弱性を、中国本土で活動するサイバースパイ組織「HAFNIUM」に起因しているとしています。

Microsoft Exchange Serverは、Eメールやカレンダー、コラボレーションソリューションとして何百万もの組織で使用されています。このエクスプロイトベクターは、外部ソースから信頼できない接続を受信できるMicrosoft Exchange Serverをターゲットにしています。その機能の中には、攻撃者がネットワークにバックドアをインストールして後で使用することを可能にするリモートコード実行(RCE: Remote Code Execution)攻撃が含まれています。一度インストールされたバックドアは、元のエクスプロイトがパッチで修正された後も有効なままになります。

3月2日、マイクロソフトは、オンプレミス版のExchange Server 2013、Exchange Server 2016、およびExchange Server 2019に対する複数のパッチをリリースしました。これらのパッチは、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065の脆弱性を標的とし、広がっている複数のエクスプロイトに対応したものです。Microsoft Exchange Server Online サービスは影響を受けません。

これらのパッチがリリースされて以来、HAFNIUMはこれらの脆弱性の悪用を加速させており、おそらく企業がマイクロソフトのパッチを適用できるようになる前に、できるだけ多くの組織を危険にさらすことを狙っているのでしょう。

FortiGuard Labsは、MAPP(Microsoft Active Protections Program)のメンバーシップの一環として、これらの脆弱性の通知を受けました。3月3日に、この脆弱性に関する詳細を記載した脅威シグナルレポートを掲載しました。また、フォーティネットのお客様をこれらの脆弱性から保護するために、3月3~4日に4つのFortiGuard IPSシグネチャをリリースしました。デフォルトのFortiEDRFortiXDRのデプロイメントでは、LSASSメモリのダンプ、マイクロソフトのブログで説明されているNishangツールやPowerCatツールの実行など、エクスプロイト後の活動を検出してブロックします。また、3月9日にFortiGuard Outbreak Alertを掲載しています。

Microsoft Exchange Server のエクスプロイトに関する脅威の詳細

マイクロソフトによると、HAFNIUMは、感染症研究者、法律事務所、高等教育機関、防衛請負業者、政策シンクタンク、NGOなど、さまざまな産業分野にまたがる米国内の事業体を主な標的とする国家主導のサイバースパイグループです。彼らの主な目的は、MEGAのようなファイル共有サイトにデータを流出させるために、貴重なネットワークにアクセスすることです。しかし、最近の報告によると、さらなる被害をもたらそうと定例外パッチをリバースエンジニアリングした結果、これが他の脅威アクターに活用されて、今やグローバルなキャンペーンになっています。

このオペレーションでは、4つの特定の脆弱性(Microsoft Exchange Server Remote Code Execution Vulnerability)が連鎖し、脅威アクターがオンプレミスのExchangeサーバーを悪用できるようになりました。

これらの詳細は以下の通りです。

CVE-2021-26855

このリモートコード実行の脆弱性は、Microsoft Exchange Server に存在します。サーバーサイドリクエストフォージェリ(SSRF)の脆弱性により、悪用者は任意の HTTP リクエストを送信して Exchange サーバーとして認証することができます。この脆弱性は攻撃の連鎖の一部であり、成功するためには、Exchange サーバーのポート 443 で信頼されていない接続を使用して接続を試みることを許可する必要があります。

CVE-2021-26857

この脆弱性は、Microsoft Exchange Server の Unified Messaging サービスに存在する安全でないデシリアライゼーションの脆弱性です。この脆弱性を悪用すると、悪意のある敵対者が Exchange サーバー上で高度な権限(SYSTEM)を持つコードを実行することができます。この脆弱性を利用するためには、既存の管理者権限や、別の脆弱性を並列に連鎖させるなど、特定の基準が利用可能である必要があります。

CVE-2021-26858

この Microsoft Exchange Server のリモートコード実行の脆弱性では、悪用者は認証後の任意のファイル書き込みを実行することができます。一旦サーバーに認証が行われると、悪用者はサーバー上の任意の場所にファイルを配置することができます。この脆弱性は、既知の Exchange 管理者の資格情報を侵害するか、CVE-2021-26855 (SSRF) を悪用して実行される不正な認証によって連鎖される可能性があります。

CVE-2021-27065

このリモートコード実行の脆弱性により、悪意のある攻撃者は、脆弱なMicrosoft Exchange Server上で認証後の任意のファイル書き込みを実行することができます。一旦認証されると、攻撃者はサーバー上の任意の場所にファイルを配置することができます。この脆弱性は、既知の Exchange 管理者の資格情報を侵害するか、CVE-2021-26855 (SSRF) を悪用して認証することで連鎖させることができます。

あなたにできること

ベストプラクティス

あなたの組織がこのエクスプロイトに対して脆弱であると思われる場合は、以下の対応を推奨します。

  1. IPSシグネチャ(仮想パッチ)を適用し保護する。これは、フォーティネットのCISOフィル・クエイドによると、脆弱なデバイスのアップグレードやパッチ適用を行っている間に実行される脅威アクターの攻撃を自動的にブロックするための、セキュリティデバイスを活用した戦略です。
  2. 組織内に配置されているすべての影響を受ける Microsoft Exchange サーバーを特定するために、資産のインベントリを実施する。
  3. バージョンチェックを実行して、パッチが適用されているかどうかを確認する。
  4. 可能な場合は、適切なパッチを適用します。パッチを適用できないデバイスは、このような悪用を検出して防止できるセキュリティデバイスの後ろに設置する。
  5. 既知のIOC (Indicators of Compromise:侵害指標)を活用した高度なスキャンを適用して、不正なバックドアの使用など、侵害が成功した場合に発生する痕跡や異常な動作を検出する。

マイクロソフトの保護

定例外パッチは、2021年3月2日に Microsoft からダウンロードできるようになりました。これらのパッチは、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065の脆弱性に対するものです。影響を受ける Microsoft Exchange サーバーに対して利用可能なすべてのパッチを直ちに適用することを推奨します。

また、マイクロソフトは、影響を受けたMicrosoft Exchangeサーバーにすぐにパッチを当てたり、更新したりできない組織に対して、代替の減災策を公開しています。

 

Microsoft Exchange Server 2010 にも脆弱性がある可能性があります。このバージョンは、上記のマイクロソフトが公開した4つの脆弱性パッチでは保護されていません。マイクロソフトは、Exchange 2010 を実行している組織に対して、防御に関する詳細なガイダンスを提供しています。

フォーティネットの保護

FortiGuard Labsチームは、2005年から参加しているプログラムであるMAPPプロセス(Microsoft Active Protections Program)のメンバーシップを通じて、これらの脆弱性についてマイクロソフトからすぐに連絡を受けました。

FortiGuard IPS

このエクスプロイトで特定された4つの脆弱性を標的としたエクスプロイトを検出し、阻止するために、以下のIPSシグネチャが2021年3月3日~4日にリリースされました。サブスクリプションが有効で、最新のアップデートが適用されたフォーティネットのすべてのお客様はすでに保護されています。

MS.Exchange.Server.ProxyRequestHandler.Remote.Code.Execution
MS.Exchange.Server.UM.Core.Remote.Code.Execution
MS.Exchange.Server.CVE-2021-27065.Remote.Code.Execution  
MS.Exchange.Server.CVE-2021-26858.Remote.Code.Execution

FortiEDR/FortiXDR

デフォルトのFortiEDRとFortiXDRのデプロイメントでは、LSASSメモリのダンプ、マイクロソフトのブログで説明されているNishangツールやPowerCatツールの実行など、エクスプロイト後の活動を検出してブロックします。

FortiClient

最新バージョンのFortiClientは、本レポートで指摘されている脆弱性を検出し、パッチの適用が必要な端末を発見する事をサポートすることができます。

FortiWeb

FortiWebセキュリティサービスに3つのシグネチャが追加され、攻撃者がMicrosoft Exchange Server上でリモートコード実行を行うことを防ぎます(CVE-2021-26855、CVE-2021-27065、CVE-2021-26858)。

FortiGuard Labs

FortiGuard Labsでは、既知のサンプルに対して以下のようなAntivirusシグネチャをリリースしました。

ASP/WebShell.cl!tr
ASP/Chopper.A!tr
HTML/Agent.A121!tr

組織がこれらの脅威から完全に保護されていることを確実にするために、利用可能なすべてのパッチをできるだけ早く適用することを強く推奨します。

FortiGuard Labsでは、この問題を引き続き監視し、このイベントに関連する新しい情報やPoCコードが利用可能になった場合には、追加のアップデートを提供します。

その他の保護

マイクロソフトによると、初期のエクスプロイトには、Exchangeサーバーのポート443に信頼できない接続を行う機能が必要です。信頼できない接続を制限することに加えて、フォーティネットのお客様はFortinetのVPNソリューションを使用してExchangeサーバーを外部からのアクセスから分離することができます。ただし、この減災策は、攻撃の初期の部分(CVE-2021-26857)に対してのみ有効です。攻撃者が既にアクセス権を持っている場合や、管理者を騙して悪意のあるファイルを実行させることができた場合、連鎖の他の部分が起動される可能性があります。この方法を使用した場合でも、利用可能なすべての Exchange Server パッチを直ちにインストールすることを優先することをお勧めします。

このエクスプロイトにより、混乱が容易に発生し日常業務に損害を与える可能性があるため、組織はすべての AV および IPS シグネチャを最新の状態に保つことが不可欠です。組織は、定期的なセキュリティ評価とパッチ適用のルーチンを確立することが重要です。これにより、既知のすべてのベンダーの脆弱性に一貫して対処し、更新することで、攻撃者がネットワーク内に足場を築くのを防ぐことができます。

関連情報

Fortinet Threat Signal Update on MS Exchange Server Exploits

Microsoft Blog on HAFNIUM Targeting MS Exchange Servers

Microsoft Exchange Server Security Updates - March 2021

FortiGuard Outbreak Alert