2021年3月2日、MicrosoftはExchange Serverの定例外のセキュリティ更新プログラムを公開し、今回修正された複数の脆弱性は既に悪用する動きが確認されているとして、早急な対応を呼び掛けています。また米CISAが脆弱性に対して緊急指令を発令し、侵害の兆候を優先した対応を推奨しています。ここでは関連する情報をまとめます。
1. どんな脆弱性なのか教えて
- Microsoft Exchange ServerでProxyLogonと呼称された深刻な脆弱性を含む7件が確認された。影響はサポート対象製品全て。悪用された場合、サーバー上で任意のコード実行が行われる恐れがある。
- 修正以前から4件の脆弱性悪用撃が確認されている。攻撃を受けていた場合、メールのデータ窃取の被害が報告されている。さらに脆弱性情報公開以降、複数の攻撃者による悪用が確認されている。
- 早急な脆弱性修正が強く推奨されている他、サーバーが第三者から接続可能となっていた場合、CISAは侵害前提の対応を呼びかけしている。
定例外で修正された脆弱性
定例外アップデートを通じ3月2日に修正された脆弱性は以下の7件。
CVE | MS評価 | CVSS v3 (base) | 影響 | 悪用の有無 | 概要 |
---|---|---|---|---|---|
CVE-2021-26855 | 緊急 | 9.1 | RCE | 悪用有り | SSRF脆弱性。細工したHTTPリクエストを送信し、Exchange Serverとして認証させる。 発見者によりProxyLogonと呼称されている。 |
CVE-2021-26857 | 緊急 | 7.8 | RCE | 悪用有り | ユニファイドメッセージングサービスの安全ではないデシリアライズの脆弱性。悪用されるとサーバー上でSYSTEM権限でコード実行が可能となるが、悪用には管理者権限、または別の脆弱性悪用が必要。 |
CVE-2021-26858 | 重要 | 7.8 | RCE | 悪用有り | 認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。 |
CVE-2021-27065 | 緊急 | 7.8 | RCE | 悪用有り | 認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。 |
CVE-2021-26412 | 緊急 | 9.1 | RCE | 悪用なし | - |
CVE-2021-26854 | 重要 | 6.6 | RCE | 悪用なし | - |
CVE-2021-27078 | 重要 | 9.1 | RCE | 悪用なし | - |
ProxyLogonって何?

- 修正された脆弱性の中でSSRFの脆弱性(CVE-2021-26855)を指す通称として脆弱性報告者が命名したもの。
- ProxyLogonはExchangeのプロキシアーキテクチャーのログオン仕様を悪用することから命名されたもの。ZeroLogonとは関係ない。
- 攻撃者が認証を回避し、管理者に成りすますことが可能で、認証後に任意ファイルの書き込みが可能となる脆弱性との組み合わせを行うことでサーバー上で任意のコードを実行させることが出来る。攻撃者はこの攻撃を443ポートを介してのみ行うことが可能。
- メモリ破損のバグではなく、ロジック上のバグに起因するため、簡単に攻撃を再現することが可能。
- 報告者は台湾のセキュリティチーム DEVCOREのOrange Tsai氏で2020年12月10日に発見したもの。Orange氏は1月5日に重大な脆弱性を確認したことをTwitterへ投稿していた。
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) 2021年1月5日
2. 影響を受ける製品はどれ?
2021年3月現在サポート対象のMicrosoft Exchange Server全てが対象。なお、既定の設定で脆弱性の影響を受ける。
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
また多層防御を目的として、サポートが終了している2010 にも更新プログラムが公開されている。
次の製品は影響を受けない。
- Microsoft 365 (Microsoft Exchange Online)
修正対応済みなども含まれるが、3月7日時点で外部公開されているOutlook Web AppはShodanだと約26万ホストが検索にかかる(日本は約280ホスト。)

脆弱性にはどう対応したらいいの?
- 脆弱性を修正する更新プログラムと何らかの理由によりプログラム適用が出来ない場合のため、緩和策がMicrosoftより公開されている。
- 緩和策は信頼できないアクセスの接続制限、外部アクセスからの分離のためのVPN設定を行うもの。
対象製品 | 修正対象のCU |
---|---|
Microsoft Exchange Server 2013 | CU23 |
Microsoft Exchange Server 2016 | CU18,CU19 |
Microsoft Exchange Server 2019 | CU7,CU8 |
- 既に何らかの攻撃を受けていた場合、Exchange Serverの脆弱性の修正の他、第三者が接続状態や特権を有していることを前提とした対応が必要となる。

ログから悪用の事実を確認する
脆弱性が悪用されているかはログを確認することで判断できる。詳細はMicrosoftの記事を参照のこと。
脆弱性 | 確認対象のログ | 確認概要 |
---|---|---|
CVE-2021-26855 | ExchangeHttpProxyログ | AuthenticatedUserが空、かつAnchorMailboxに「ServerInfo〜 * / *」のパターンが含まれるエントリを確認する。 |
CVE-2021-26857 | Windowsアプリケーションログ | 次のアプリケーションイベントを確認する。 Source: MSExchange Unified Messaging EntryType: Error Event Message Contains: System.InvalidCastException |
CVE-2021-26858 | Exchangeログ | 他フォルダ(UNC、ローカルパス)にダウンロードされているかを確認する。 |
CVE-2021-27065 | Exchangeログ | 「Set- |
Microsoftはログ走査を行うツールや緩和策適用スクリプト、Nmap用NSEファイルを公開している。
3. 脆弱性の悪用は行われているの?
- 米国内だけで少なくとも2万~3万組織が既に影響を受けた(攻撃を受けた恐れ)との見立てを複数の関係者や報道が取り上げている。*1 *2 *3
- MicrosoftはHafniumと呼称するアクターがこの脆弱性を悪用した活動を行っていると報告。さらにHafnium以外の複数の攻撃者による未修正のシステムに対する攻撃を確認したと公表している。
- Volexityの報告によれば、攻撃は遅くとも2021年1月6日時点で確認されている。
- 米ホワイトハウス報道官はこの脆弱性を重大なものと評価し、広範囲に影響が及ぶ可能性があるとコメント。
- Reutersは政府協力筋からの情報として、バックドア悪用によるネットワーク侵害拡大に至るケースはわずかで、10分の1未満ではないかと報じている。
Exploitコードの情報はある?
Github上には実証コードとされる投稿が行われている。
- https://github.com/Th3eCrow/CVE-2021-26855-SSRF-Exchange
- https://github.com/conjojo/Microsoft_Exchange_Server_SSRF_CVE-2021-26855
報告者のOrange氏による実証デモ動画が公開されている。(Exploitコードは公開されていない)
www.youtube.com
Microsoftが特定した「Hafnium」
- Microsoftは脆弱性悪用する国家支援の脅威アクターの名前を「Hafnium」と呼称。中国で活動しているとの見解を示している。またMicrosoftがHafniumを取り上げるのは初めて。中国政府報道担当者は今回の件に対し、国の関与はないとコメントをしている。
- FireEyeはこのアクターをUNC2639、UNC2640、UNC2643の3つのクラスターから追跡していることを明らかにしている。
- Hafniumは定例外で修正された脆弱性の内、4件を攻撃に悪用していた。
- Hafniumによる主要な攻撃対象は感染症研究者、法律事務所、高等教育機関、防衛請負事業者、政府系シンクタンク、NGOが挙げられている。
Microsoftが確認したHafniumの3つの攻撃ステップの手口は次の通り。
- 窃取したパスワードの利用、または当時未修正の脆弱性を悪用し特権アカウントを侵害しExchange Serverに接続する。
- 侵害したサーバーを遠隔制御するため、Webシェルを設置する。
- 米国拠点のリース仮想プライベートサーバー(VPS)からリモートアクセスを使用し、ターゲット組織のネットワークより情報を盗み出す。
Volexityが報告した攻撃に関連する情報は以下の通り。
- Volexityが脆弱性を悪用する攻撃を確認したのは2021年1月6日。顧客の2台のExchange Serverで異常なアクティビティ(正規のユーザーに紐づいていないIPアドレスに対し大量のデータの送出)を検出。
- 調査の結果、CVE-2021-26855を悪用する攻撃であることが判明。攻撃者は複数のユーザーのメールボックス全体のデータ窃取を行った。
Webシェルに関連する情報
Webシェル設置後は次の行動が確認されたという。
- procdumpを使用しLSASSのプロセスメモリをダンプ。
- 7-zipを使用し、窃取したデータのZIPアーカイブに圧縮。
- メールボックスデータをエクスポートするためにExchange PowerShellスナップインの追加と利用。
- Nishang を使用し、リバースシェルを起動
- PowerCatをGithubよりダウンロードし、リモートサーバーへ接続
Webシェルには次の機能や特徴が報告されている。
- 設置されたWebシェルは2種類が確認されている。
- EDR系製品の存在確認(FireEye xAgent、CarbonBlack、CrowdStrike Falcon)を行う。
- Exchange Serverのユニファイドメッセージングサービス(UMWorkerProcess.exe)で書き込みが行われている。(CVE-2021-26858の悪用示唆)
- 2つ目に設置されたWebシェルは高度な実装が行われており、任意コマンドの実行やファイル更新、削除、参照の機能が実装されていた。
4. 脆弱性の注意喚起や公式情報を知りたい
国内外組織の注意喚起等
- IPA 更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等)
- JPCERT/CC Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
- CISA Emergency Directive 21-02 Mitigate Microsoft Exchange On-Premises Product Vulnerabilities
Microsoftが公開した記事等
- Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871)
- New nation-state cyberattacks
- HAFNIUM targeting Exchange Servers with 0-day exploits
- Released: March 2021 Exchange Server Security Updates
- [PDF] 02 March 2021 -Exchange Server Security Update
- https://twitter.com/EurekaBerry/status/1366904563085664258
攻撃や手口を分析した記事等
関連タイムライン
日時 | 出来事 |
---|---|
2020年10月1日 | DEVCOREがMicrosoft Exchange Serverのセキュリティレビューを開始。 |
2020年12月10日 | DEVCOREがProxyLogonの脆弱性(CVE-2021-26855)を発見。 |
2020年12月30日 | DEVCOREが2つ目の脆弱性(CVE-2021-27065)を発見。 |
2020年12月31日 | DEVCOREが発見した脆弱性を組み合わせ、認証前のRCEエクスプロイトを完成。 |
2021年1月5日 | DEVCOREがMSRCポータルを通じMicrosoftにアドバイザリ、エクスプロイトを送信。 |
2021年1月6日 | Volexityが当該脆弱性を悪用する動きを確認した最も早い日付。 |
同日 | MicrosoftがCVE-2021-26855を確認。 |
同日 | MicrosoftがCVE-2021-27065を確認。 |
2021年1月8日 | MicrosoftがDEVCOREより報告された動作を確認。 |
2021年2月18日 | DEVCOREがMicrosoftにアドバイザリ案を提供、修正予定日を確認。 |
同日 | Microsoftが修正は3月9日を予定していると回答。 |
2021年3月3日 | Microsoftが予定より早く情報公開することを通知。 |
同日 | Microsoftが脆弱性情報と修正プログラムを公開。 |
2021年3月5日 | MicrosoftがHafnium以外の複数の第三者による攻撃活動を確認したと報告。 |
- 脆弱性調整に係る詳細なタイムラインはDevcoreの公開した脆弱性情報サイトに記載されている。
インディケーター情報(IPアドレスのみ抽出)
Volexity
103.77.192[.]219
104.140.114[.]110
104.250.191[.]110
108.61.246[.]56
149.28.14[.]163
157.230.221[.]198
167.99.168[.]251
185.250.151[.]72
192.81.208[.]169
203.160.69[.]66
211.56.98[.]146
5.254.43[.]18
80.92.205[.]81
FireEye
165.232.154[.]116
182.18.152[.]105
89.34.111[.]11
86.105.18[.]116
Rapid7
165.232.154[.]116
157.230.221[.]198
161.35.45[.]41
45.77.252[.]175
104.248.49[.]97
194.87.69[.]35
更新履歴
- 2021年3月8日 AM 新規作成
- 2021年3月8日 PM 確認対象のログに誤りがあったため訂正
*1:More than 20,000 U.S. organizations compromised through Microsoft flaw,Reuters,2021年3月6日
*2:Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims,Wired,2021年3月5日
*3:At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software,KrebsOnSecurity,2021年3月5日
*4:マイクロソフト “提供システムに攻撃 中国系ハッカー関与”,NHK,2021年3月7日
*5:米3万組織に攻撃、中国系ハッカーか Microsoft標的,日本経済新聞,2021年3月6日