piyolog

2021年3月2日、MicrosoftはExchange Serverの定例外のセキュリティ更新プログラムを公開し、今回修正された複数の脆弱性は既に悪用する動きが確認されているとして、早急な対応を呼び掛けています。また米CISAが脆弱性に対して緊急指令を発令し、侵害の兆候を優先した対応を推奨しています。ここでは関連する情報をまとめます。

1. どんな脆弱性なのか教えて

Microsoft Exchange ServerでProxyLogonと呼称された深刻な脆弱性を含む7件が確認された。影響はサポート対象製品全て。悪用された場合、サーバー上で任意のコード実行が行われる恐れがある。
修正以前から4件の脆弱性悪用撃が確認されている。攻撃を受けていた場合、メールのデータ窃取の被害が報告されている。さらに脆弱性情報公開以降、複数の攻撃者による悪用が確認されている。
早急な脆弱性修正が強く推奨されている他、サーバーが第三者から接続可能となっていた場合、CISAは侵害前提の対応を呼びかけしている。

定例外で修正された脆弱性

定例外アップデートを通じ3月2日に修正された脆弱性は以下の7件。

CVE	MS評価	CVSS v3 (base)	影響	悪用の有無	概要
CVE-2021-26855	緊急	9.1	RCE	悪用有り	SSRF脆弱性。細工したHTTPリクエストを送信し、Exchange Serverとして認証させる。発見者によりProxyLogonと呼称されている。
CVE-2021-26857	緊急	7.8	RCE	悪用有り	ユニファイドメッセージングサービスの安全ではないデシリアライズの脆弱性。悪用されるとサーバー上でSYSTEM権限でコード実行が可能となるが、悪用には管理者権限、または別の脆弱性悪用が必要。
CVE-2021-26858	重要	7.8	RCE	悪用有り	認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。
CVE-2021-27065	緊急	7.8	RCE	悪用有り	認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。
CVE-2021-26412	緊急	9.1	RCE	悪用なし	－
CVE-2021-26854	重要	6.6	RCE	悪用なし	－
CVE-2021-27078	重要	9.1	RCE	悪用なし	－

ProxyLogonって何？

f:id:piyokango:20210308023929p:plain — ProxyLogonのロゴ

proxylogon.com

修正された脆弱性の中でSSRFの脆弱性（CVE-2021-26855）を指す通称として脆弱性報告者が命名したもの。
ProxyLogonはExchangeのプロキシアーキテクチャーのログオン仕様を悪用することから命名されたもの。ZeroLogonとは関係ない。
攻撃者が認証を回避し、管理者に成りすますことが可能で、認証後に任意ファイルの書き込みが可能となる脆弱性との組み合わせを行うことでサーバー上で任意のコードを実行させることが出来る。攻撃者はこの攻撃を443ポートを介してのみ行うことが可能。
メモリ破損のバグではなく、ロジック上のバグに起因するため、簡単に攻撃を再現することが可能。
報告者は台湾のセキュリティチーム DEVCOREのOrange Tsai氏で2020年12月10日に発見したもの。Orange氏は1月5日に重大な脆弱性を確認したことをTwitterへ投稿していた。

Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) 2021年1月5日

2. 影響を受ける製品はどれ？

2021年3月現在サポート対象のMicrosoft Exchange Server全てが対象。なお、既定の設定で脆弱性の影響を受ける。

Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

また多層防御を目的として、サポートが終了している2010 にも更新プログラムが公開されている。

Microsoft Exchange Server 2010 Service Pack 3

次の製品は影響を受けない。

Microsoft 365 （Microsoft Exchange Online）

修正対応済みなども含まれるが、3月7日時点で外部公開されているOutlook Web AppはShodanだと約26万ホストが検索にかかる（日本は約280ホスト。）

f:id:piyokango:20210307224421p:plain — Shodanの検索にかかったOWAホスト数。米独が3分の1以上を占める。

脆弱性にはどう対応したらいいの？

脆弱性を修正する更新プログラムと何らかの理由によりプログラム適用が出来ない場合のため、緩和策がMicrosoftより公開されている。
緩和策は信頼できないアクセスの接続制限、外部アクセスからの分離のためのVPN設定を行うもの。

対象製品	修正対象のCU
Microsoft Exchange Server 2013	CU23
Microsoft Exchange Server 2016	CU18,CU19
Microsoft Exchange Server 2019	CU7,CU8

既に何らかの攻撃を受けていた場合、Exchange Serverの脆弱性の修正の他、第三者が接続状態や特権を有していることを前提とした対応が必要となる。

f:id:piyokango:20210308024414p:plain — CISAの緊急指令を参考にした今回の脆弱性への対応手順

ログから悪用の事実を確認する

脆弱性が悪用されているかはログを確認することで判断できる。詳細はMicrosoftの記事を参照のこと。

脆弱性	確認対象のログ	確認概要
CVE-2021-26855	ExchangeHttpProxyログ	AuthenticatedUserが空、かつAnchorMailboxに「ServerInfo〜 * / *」のパターンが含まれるエントリを確認する。
CVE-2021-26857	Windowsアプリケーションログ	次のアプリケーションイベントを確認する。 Source: MSExchange Unified Messaging EntryType: Error Event Message Contains: System.InvalidCastException
CVE-2021-26858	Exchangeログ	他フォルダ（UNC、ローカルパス）にダウンロードされているかを確認する。
CVE-2021-27065	Exchangeログ	「Set-VirtualDirectory」を探査し、InternalUrlとExternalUrlが有効なURIかを確認する。

Microsoftはログ走査を行うツールや緩和策適用スクリプト、Nmap用NSEファイルを公開している。

https://github.com/microsoft/CSS-Exchange/tree/main/Security

3. 脆弱性の悪用は行われているの？

米国内だけで少なくとも2万～3万組織が既に影響を受けた（攻撃を受けた恐れ）との見立てを複数の関係者や報道が取り上げている。*1 *2 *3
MicrosoftはHafniumと呼称するアクターがこの脆弱性を悪用した活動を行っていると報告。さらにHafnium以外の複数の攻撃者による未修正のシステムに対する攻撃を確認したと公表している。
Volexityの報告によれば、攻撃は遅くとも2021年1月6日時点で確認されている。
米ホワイトハウス報道官はこの脆弱性を重大なものと評価し、広範囲に影響が及ぶ可能性があるとコメント。
Reutersは政府協力筋からの情報として、バックドア悪用によるネットワーク侵害拡大に至るケースはわずかで、10分の1未満ではないかと報じている。

Exploitコードの情報はある？

Github上には実証コードとされる投稿が行われている。

報告者のOrange氏による実証デモ動画が公開されている。（Exploitコードは公開されていない）
www.youtube.com

Microsoftが特定した「Hafnium」

Microsoftは脆弱性悪用する国家支援の脅威アクターの名前を「Hafnium」と呼称。中国で活動しているとの見解を示している。またMicrosoftがHafniumを取り上げるのは初めて。中国政府報道担当者は今回の件に対し、国の関与はないとコメントをしている。
FireEyeはこのアクターをUNC2639、UNC2640、UNC2643の3つのクラスターから追跡していることを明らかにしている。
Hafniumは定例外で修正された脆弱性の内、4件を攻撃に悪用していた。
Hafniumによる主要な攻撃対象は感染症研究者、法律事務所、高等教育機関、防衛請負事業者、政府系シンクタンク、NGOが挙げられている。

Microsoftが確認したHafniumの3つの攻撃ステップの手口は次の通り。

窃取したパスワードの利用、または当時未修正の脆弱性を悪用し特権アカウントを侵害しExchange Serverに接続する。
侵害したサーバーを遠隔制御するため、Webシェルを設置する。
米国拠点のリース仮想プライベートサーバー（VPS）からリモートアクセスを使用し、ターゲット組織のネットワークより情報を盗み出す。

Volexityが報告した攻撃に関連する情報は以下の通り。

Volexityが脆弱性を悪用する攻撃を確認したのは2021年1月6日。顧客の2台のExchange Serverで異常なアクティビティ（正規のユーザーに紐づいていないIPアドレスに対し大量のデータの送出）を検出。
調査の結果、CVE-2021-26855を悪用する攻撃であることが判明。攻撃者は複数のユーザーのメールボックス全体のデータ窃取を行った。

Webシェルに関連する情報

Webシェル設置後は次の行動が確認されたという。

procdumpを使用しLSASSのプロセスメモリをダンプ。
7-zipを使用し、窃取したデータのZIPアーカイブに圧縮。
メールボックスデータをエクスポートするためにExchange PowerShellスナップインの追加と利用。
Nishang を使用し、リバースシェルを起動
PowerCatをGithubよりダウンロードし、リモートサーバーへ接続

Webシェルには次の機能や特徴が報告されている。

設置されたWebシェルは2種類が確認されている。
EDR系製品の存在確認（FireEye xAgent、CarbonBlack、CrowdStrike Falcon）を行う。
Exchange Serverのユニファイドメッセージングサービス（UMWorkerProcess.exe）で書き込みが行われている。（CVE-2021-26858の悪用示唆）
2つ目に設置されたWebシェルは高度な実装が行われており、任意コマンドの実行やファイル更新、削除、参照の機能が実装されていた。

その他関連する情報

3月7日時点では報道は米国の影響を報じるものが主であり、日本国内では被害を受けたとの発表や報道は確認されていない。*4 *5
直近で話題となっていたSolarWinds社の件と今回の脆弱性との関連はないとMicrosoftが明言している。

4. 脆弱性の注意喚起や公式情報を知りたい

国内外組織の注意喚起等

Microsoftが公開した記事等

攻撃や手口を分析した記事等

日時	出来事
2020年10月1日	DEVCOREがMicrosoft Exchange Serverのセキュリティレビューを開始。
2020年12月10日	DEVCOREがProxyLogonの脆弱性（CVE-2021-26855）を発見。
2020年12月30日	DEVCOREが2つ目の脆弱性（CVE-2021-27065）を発見。
2020年12月31日	DEVCOREが発見した脆弱性を組み合わせ、認証前のRCEエクスプロイトを完成。
2021年1月5日	DEVCOREがMSRCポータルを通じMicrosoftにアドバイザリ、エクスプロイトを送信。
2021年1月6日	Volexityが当該脆弱性を悪用する動きを確認した最も早い日付。
同日	MicrosoftがCVE-2021-26855を確認。
同日	MicrosoftがCVE-2021-27065を確認。
2021年1月8日	MicrosoftがDEVCOREより報告された動作を確認。
2021年2月18日	DEVCOREがMicrosoftにアドバイザリ案を提供、修正予定日を確認。
同日	Microsoftが修正は3月9日を予定していると回答。
2021年3月3日	Microsoftが予定より早く情報公開することを通知。
同日	Microsoftが脆弱性情報と修正プログラムを公開。
2021年3月5日	MicrosoftがHafnium以外の複数の第三者による攻撃活動を確認したと報告。

インディケーター情報（IPアドレスのみ抽出）

Volexity

103.77.192[.]219
104.140.114[.]110
104.250.191[.]110
108.61.246[.]56
149.28.14[.]163
157.230.221[.]198
167.99.168[.]251
185.250.151[.]72
192.81.208[.]169
203.160.69[.]66
211.56.98[.]146
5.254.43[.]18
80.92.205[.]81