脅威リサーチ

Microsoft Exchangeのゼロデイ脆弱性に関する最新情報

投稿者 James Slaughter | 2022年10月20日

2022年9月28日、サイバーセキュリティ企業のGTSCは監視対象のシステムに対して仕掛けられたエクスプロイトについて詳述したブログ記事を発表しました。同社は分析によって2つのバグの特定に成功し、それらをZero Day Initiativeを介してMicrosoftに報告しました(ZDI-CAN-18333 (CVSS 8.8) とZDI-CAN-18802 (CVSS 6.3))。Microsoftは報告内容を確認し、発見された2つの脆弱性にそれぞれCVE-2022-41040とCVE-2022-41082を割り当てました。

CVE-2022-41040はサーバーサイドリクエストフォージェリ(SSRF)脆弱性で、CVE-2022-41082はPowerShellを利用できる場合にリモートコード実行(RCE)を可能にします。

このブログでは、これらの脆弱性に関して知っておくべきことについて解説します。

影響を受けるプラットフォーム:オンプレミスのMicrosoft Exchange Server 2013、2016、2019
影響を受けるユーザー:Microsoft Exchangeの脆弱性のあるバージョンを使用している組織
影響:リモート攻撃者が脆弱性のあるシステムの制御を掌握する
深刻度:

Microsoft Exchangeとは?

ExchangeはMicrosoftのEメール / カレンダーサーバーです。1996年に(Exchange 4.0として)初めてリリースされ、最新バージョンはExchange 2019です。Exchangeは、SaaS(サービスとしてのソフトウェア)を使用してオンプレミスにもオンラインにもインストールできます。

脆弱性があるのはMicrosoft Exchangeのどのバージョンですか?

  • オンプレミスのMicrosoft Exchange Server 2013
  • オンプレミスのMicrosoft Exchange Server 2016
  • オンプレミスのMicrosoft Exchange Server 2019

脆弱性はどのように悪用されますか?

ProxyShell脆弱性(Microsoft Exchangeの3つの関連する脆弱性の総称:CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)を解決するために使用された対策は、完全には成功しなかったように見えます。

上記の新しい脆弱性が機能するためには、ProxyShellと同様に1つの攻撃チェーンとして使用する必要があります。CVE-2022-41040は、ProxyShellの場合と同じくGETクエリーを使って悪用することができます。

例:

GET autodiscover/autodiscover.json?@evilinc.com/<Exchange-backend-
endpoint>&Email=autodiscover/autodiscover.json%3f@evilinc.com

2つの脆弱性セットの大きな違いは、デバイスを悪用するために脆弱なExchange Serverへの認証されたアクセスが必要である点です。これは初めは些細なことに思えるかもしれませんが、認証情報はダークウェブで簡単に比較的安価で購入することができます。

Microsoft Exchangeの脆弱性の重大性

Microsoft Exchangeは企業環境で広く利用されており、攻撃者によるリモートコード実行を可能にするパッチ未適用の脆弱性は、どのような組織にとっても重大なリスクになり得ます。

CVE-2022-41040とCVE-2022-41082を悪用する試みは実際に観測されていますか?

はい。Microsoftは、「限られた標的型」攻撃で両方の脆弱性が使用されたと報告しています。また、前述のように、GTSC社が侵入を直接観測することで、これらの脆弱性を最初に発見しました。

これらの脆弱性にパッチは適用されましたか?

この記事を書いている時点で(2022年9月30日)、パッチはまだ発行されていません。Microsoftは、急いでパッチを開発中であると述べています。

ベンダーは何か減災策を提供していますか?

はい。Microsoftは以下のような減災手順を発表しています。

「現在の減災策としては、既知の攻撃パターンをブロックするために、"IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions" に、ブロックルールを追加します。」

この操作を実行するには

  1. IISマネージャーを開きます。
  2. 「Default Web Site」を展開します。
  3. 「Autodiscover」を選択します。
  4. 機能ビューで「URL Rewrite」をクリックします。
  5. 「Actions」ペインの右側にある「Add Rules」をクリックします。
  6. 「Request Blocking」を選択して「OK」をクリックします。
  7. 文字列「.*autodiscover\.json.*\@.*Powershell.*」を追加し(「」を除いて)、「OK」をクリックします。
  8. ルールを展開し、「.*autodiscover\.json.*\@.*Powershell.*」というパターンを含むルールを選択して、「Conditions」の下にある「Edit」をクリックします。
  9. 条件の入力を {URL} から {REQUEST_URI} に変更します。
 
Microsoftは、以下のリモートPowerShellポートをブロックすることで、攻撃される可能性を減らすことができるとも述べています。
  • HTTP: 5985
  • HTTPS: 5986

フォーティネットはエクスプロイトの試みからの保護を提供していますか?

はい。フォーティネットはこの最新のゼロデイに対処するために、既存のシグネチャセットを更新しました。IPSシグネチャ「MS.Exchange.Server.Autodiscover.Remote.Code.Execution」は、CVE-2022-41040とCVE-2022-41082の両方について、エクスプロイトの試みをブロックします。

FortiGuardアウトブレイクアラートとは?

 
FortiGuardアウトブレイクアラートは、サイバーセキュリティに対する攻撃を減災するためのタイムリーな対策を提供します。フォーティネットのお客様とパートナーに重要な情報を伝えます。アウトブレイクアラートによって、お客様は何が起きたかを知り、攻撃の技術的詳細と、その攻撃や他の類似の攻撃から組織を守る方法を理解できます。

フォーティネットはMicrosoft Exchangeの脆弱性についてほかにも情報を公表していますか?

はい。この問題が明らかになって以来、ほかにも資料を公表しています。公表した資料は以下のとおりです。

結論

減災策があり、認証が要求されるとは言っても、これらの脆弱性の重大性を軽視するのは賢明ではありません。脆弱性のあるサーバーを探してインターネットを自動的にスキャンできるツールを簡単に利用できるということは、影響を受けるマシンが非常に目立つ標的になることを意味します。

FortiGuard Labsは、さらなる知見を求めて積極的に状況の監視を続け、保護対策を提供できるようになり次第、それに関する追加情報を発表します。

10/6 更新情報:Microsoftは、最新の減災策ガイダンスをブログにて公開しました。

フォーティネットのソリューション

最新の定義を実行しているフォーティネットのお客様は、弊社のIPS、FortiClient、FortiGate、FortiWeb、FortiSASE、FortiNDR、FortiADC、FortiProxyサービス、そしてFortiGuardのWebフィルタリングテクノロジーを通じて、このゼロデイの積極的な悪用から保護されます。

以下のIPSシグネチャが、このブログで紹介したアクティビティを検知します。

MS.Exchange.Server.Autodiscover.Remote.Code.Execution

Webフィルタリングクライアントは、すべてのネットワークベースのURIをブロックします。

ネットワークIOC(Indicators of Compromise:侵害指標):

IP

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

 

URL

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

 

C2

137[.]184[.]67[.]33