Microsoft Exchangeに危険が残る なぜ脆弱性を解決できないのか

Microsoft Exchangeを危険にさらす脆弱性が見つかった。Microsoftは緩和策やパッチを提供しているものの、対応が複数回にわたったため、ユーザーが十分認知していない場合があるという。

[David Jones，Cybersecurity Dive]

　エンドポイントセキュリティなどを提供するCrowdStrikeの研究者は、「Play」（PlayCrypt）ランサムウェアによる新しい悪用手法を発見し、2022年12月20日に発表した（注1）。この手法を使うと、「Microsoft Exchange Server」（以下、Microsoft Exchange）の脆弱（ぜいじゃく）性「ProxyNotShell」の緩和策としてMicrosoftが2022年10月に提供した「URLリライト」を回避できてしまう恐れがある。

ProxyNotShellの脆弱性とは

　攻撃者がProxyNotShellの脆弱性を利用すると、Microsoft Exchangeを経由したシステムの完全な乗っ取りに成功する場合がある。

　Crowdstrikeの研究者は、Playランサムウェアの活動を調査しているときに今回の新手法を発見した。侵入経路としてゼロデイ脆弱性「CVE-2022-41080」と「CVE-2022-41082」に疑いがある。

　調査によれば攻撃者は「Outlook Web Access」(OWA) から侵入し、アクセスを維持するために「Plink」や「AnyDesk」といったリモートアクセスツールを利用していた。

　CrowdStrikeによると、ProxyNotShellを利用した攻撃ではこれまで、フロントエンドで認証されたリクエストを経由して「Autodiscover」エンドポイントにアクセスしていた。Autodiscoverはファイルやメモリの変更、ソフトウェアのアップグレードやバージョンアップなど、ネットワーク自体やネットワーク資産の変更を検知し、データを収集するためのソフトウェアツールだ。Autodiscoverを利用したサーバサイドリクエストフォージェリの脆弱性（CVE-2022-41040）を悪用することで攻撃者は任意のURLでバックエンドに到達できる。

　CrowdStrikeによると、ProxyNotShellを利用した攻撃ではバックエンドサービスである「Remote PowerShell」が対象になる。Remote PowerShellに到達した後、CVE-2022-41082が悪用され、任意のコマンドの悪用が可能になる。

　CrowdStrikeのインシデント対応担当者は、ProxyNotShellのログエントリーと類似したRemote PowerShellのログを発見した。しかし、このケースでは、Remote PowerShellはAutodiscoverエンドポイントを利用したのではなく、OWAフロントエンドのエンドポイントを通じて到達したという。

　Trend Microの研究者は2022年9月に、Playランサムウェアが南米での脅威活動に関連していることを指摘した（注2）。攻撃者は「Hive」や「Nokoyawa」ランサムウェアと同様の手口を利用していた。

しつこく残るProxyNotShellの脆弱性

　ProxyNotShellは、2022年夏にベトナムの企業が発見した。Microsoftは2022年10月に幾つかの緩和策やパッチを提供したものの、研究者は幾つかのステップを攻撃者が迂回できるとして、Microsoftを繰り返し非難した（注3）。

　この脆弱性を利用した攻撃が幾つか確認された後、Microsoftは2022年11月上旬に新しいパッチを発表した（注4）。なお、これらの攻撃の中には、国家に関連する攻撃者の活動が含まれていた。

　Microsoftの広報担当者は2022年12月21日に、「報告された手法は、当社の最新のセキュリティ更新プログラムを適用していない脆弱なシステムを悪用するものだ」と述べている。この広報担当者は2022年11月にリリースされたMicrosoft Exchangeの更新プログラムを優先的に適用することを推奨した（注5）。

　Rapid7のグレン・ソープ氏（緊急脅威対応プログラムマネジャー）によれば、Microsoftが2022年11月8日にリリースしたセキュリティ更新プログラムを、多くの組織が適用していない（注6）。

　「Microsoftの緩和策により、組織はパッチを適用する時間を稼ぐことができた。だが以前に推奨された緩和策のみを提供したサーバが、現在攻撃にさらされている。もはや時間稼ぎはできない」（ソープ氏）

出典：New exploit for Microsoft’s ProxyNotShell mitigation side steps fix（Cybersecurity Dive）

注1：OWASSRF: CrowdStrike Identifies New Exploit Method for Exchange Bypassing ProxyNotShell Mitigations

注2：Play Ransomware's Attack Playbook Similar to that of Hive, Nokoyawa

注3：Microsoft struggles to mitigate Exchange Server CVEs as it races to complete patch（Cybersecurity Dive）

注4：Microsoft finally releases security updates for ProxyNotShell zero days（Cybersecurity Dive）

注5：Released: November 2022 Exchange Server Security Updates

注6：CVE-2022-41080, CVE-2022-41082: Rapid7 Observed Exploitation of `OWASSRF` in Exchange for RCE