2021年3月2日、MicrosoftはExchange Serverの定例外のセキュリティ更新プログラムを公開し、今回修正された複数の脆弱性は既に悪用する動きが確認されているとして、早急な対応を呼び掛けています。また米CISAが脆弱性に対して緊急指令を発令し、侵害の兆候を優先した対応を推奨しています。ここでは関連する情報をまとめます。
1. どんな脆弱性なのか教えて
- Microsoft Exchange ServerでProxyLogonと呼称された深刻な脆弱性を含む7件が確認された。影響はサポート対象製品全て。悪用された場合、サーバー上で任意のコード実行が行われる恐れがある。
- 修正以前から4件の脆弱性の悪用が確認されている。攻撃を受けていた場合、メールのデータ窃取の被害が報告されている。複数の攻撃者による悪用が報告されている。
- 早急な脆弱性修正が強く推奨されている他、サーバーが第三者から接続可能となっていた場合、CISAは侵害前提の対応を呼びかけている。
定例外で修正された脆弱性
定例外アップデートを通じ3月2日に修正された脆弱性は以下の7件。
| CVE | MS評価 | CVSS v3 (base) | 影響 | 悪用の有無 | 概要 |
|---|---|---|---|---|---|
| CVE-2021-26855 | 緊急 | 9.1 | RCE | 悪用有り | SSRF脆弱性。細工したHTTPリクエストを送信し、Exchange Serverとして認証させる。 発見者によりProxyLogonと呼称されている。 |
| CVE-2021-26857 | 緊急 | 7.8 | RCE | 悪用有り | Unified Messagingサービスの安全ではないデシリアライズの脆弱性。悪用されるとサーバー上でSYSTEM権限でコード実行が可能となるが、悪用には管理者権限、または別の脆弱性悪用が必要。 |
| CVE-2021-26858 | 重要 | 7.8 | RCE | 悪用有り | 認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。 |
| CVE-2021-27065 | 緊急 | 7.8 | RCE | 悪用有り | 認証後の任意ファイル書き込みができる脆弱性。認証が行われた後、任意の場所にファイルを書き込むことが可能となる。悪用には管理者権限、または別の脆弱性悪用が必要。 |
| CVE-2021-26412 | 緊急 | 9.1 | RCE | 悪用なし | - |
| CVE-2021-26854 | 重要 | 6.6 | RCE | 悪用なし | - |
| CVE-2021-27078 | 重要 | 9.1 | RCE | 悪用なし | - |
ProxyLogonって何?
- 修正された脆弱性の中でSSRFの脆弱性(CVE-2021-26855)を指す通称として脆弱性報告者が命名したもの。
- ProxyLogonはExchangeのプロキシアーキテクチャーのログオン仕様を悪用することから命名されたもの。ZeroLogonとは関係ない。
- 攻撃者が認証を回避し、管理者に成りすますことが可能で、認証後に任意ファイルの書き込みが可能となる脆弱性との組み合わせを行うことでサーバー上で任意のコードを実行させることが出来る。攻撃者はこの攻撃を443ポートを介してのみ行うことが可能。
- メモリ破損のバグではなく、ロジック上のバグに起因するため、簡単に攻撃を再現することが可能。
- 報告者は台湾のセキュリティチーム DEVCOREのOrange Tsai氏で2020年12月10日に発見したもの。Orange氏は1月5日に重大な脆弱性を確認したことをTwitterへ投稿していた。
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) 2021年1月5日
2. 影響を受ける製品はどれ?
2021年3月現在サポート対象のMicrosoft Exchange Server全てが対象。なお、既定の設定で脆弱性の影響を受ける。
| 製品名 | 影響の有無 | サポート対象 |
|---|---|---|
| Microsoft Exchange Server 2013 | 全ての脆弱性の影響あり | サポート期間中 |
| Microsoft Exchange Server 2016 | 全ての脆弱性の影響あり | サポート期間中 |
| Microsoft Exchange Server 2019 | 全ての脆弱性の影響あり | サポート期間中 |
| Microsoft Exchange Server 2010 | 一部対象あり(CVE-2021-26857のみ) | サポート対象外 |
| Microsoft Exchange Server Online | 影響を受けない | サポート期間中 |
| Microsoft Exchange Server 2003 | 影響を受けない | サポート対象外 |
| Microsoft Exchange Server 2007 | 影響を受けない | サポート対象外 |
- Exchange 2003/2007は今回の脆弱性の影響は受けないが将来的な問題への対応をするためにもサポート対象の製品へのバージョンアップがMicrosoftより推奨されている。
修正対応済みなども含まれるが、3月7日時点で外部公開されているOutlook Web AppはShodanだと約26万ホストが検索にかかる(日本は約280ホスト。)
脆弱性にはどう対応したらいいの?
- 脆弱性を修正する更新プログラムと何らかの理由によりプログラム適用が出来ない場合のため、緩和策がMicrosoftより公開されている。
- 緩和策は信頼できないアクセスの接続制限、外部アクセスからの分離のためのVPN設定を行うもの。
| 対象製品 | セキュリティ更新プログラムが適用可能なCU | 修正を包含したCU |
|---|---|---|
| Microsoft Exchange Server 2013 | CU21, CU22, CU23 | - |
| Microsoft Exchange Server 2016 | CU12,CU13,14,CU15,CU16,CU17, CU18,CU19 | CU20 |
| Microsoft Exchange Server 2019 | CU3, CU4,CU5,CU6,CU7,CU8 | CU9 |
また多層防御を目的として、サポートが終了している2010 、2013 SP1 CU4にも更新プログラムが公開されている。
Microsoftはセキュリティ更新プログラムを適用するにあたり、当初最新のCUを適用した環境を必要条件としていたが、3月8日に古い複数のCUでも適用可能な更新プログラムを公開した。
- アップデート内容は今回悪用が確認された4件の脆弱性の修正のみを目的落としているもの。他のセキュリティ修正、アップデートは含まれない。
- 更新プログラムはMicrosoft Download Centerからのみ入手可能(Microsoft Updateからは入手できない)
- 既に何らかの攻撃を受けていた場合、Exchange Serverの脆弱性の修正の他、第三者が接続状態や特権を有していることを前提とした対応が必要となる。
ログから悪用の事実を確認する
脆弱性が悪用されているかはログを確認することで判断できる。詳細はMicrosoftの記事を参照のこと。
| 脆弱性 | 確認対象のログ | 確認概要 |
|---|---|---|
| CVE-2021-26855 | ExchangeHttpProxyログ | AuthenticatedUserが空、かつAnchorMailboxに「ServerInfo〜 * / *」のパターンが含まれるエントリを確認する。 |
| CVE-2021-26857 | Windowsアプリケーションログ | 次のアプリケーションイベントを確認する。 Source: MSExchange Unified Messaging EntryType: Error Event Message Contains: System.InvalidCastException |
| CVE-2021-26858 | Exchangeログ | 他フォルダ(UNC、ローカルパス)にダウンロードされているかを確認する。 |
| CVE-2021-27065 | Exchangeログ | 「Set- |
Microsoftはログ走査を行うツールや緩和策適用スクリプト、Nmap用NSEファイルを公開している。
3. 脆弱性の悪用は行われているの?
- 米国内だけで少なくとも2万~3万組織が既に影響を受けた(攻撃を受けた恐れ)との見立てを複数の関係者や報道が取り上げている。*1 *2 *3
- MicrosoftはHafniumと呼称するアクターがこの脆弱性を悪用した活動を行っていると報告。さらにHafnium以外の複数の攻撃者による未修正のシステムに対する攻撃を確認したと公表している。
- Volexityの報告によれば、攻撃は遅くとも2021年1月6日時点で確認されている。
- 米ホワイトハウス報道官はこの脆弱性を重大なものと評価し、広範囲に影響が及ぶ可能性があるとコメント。
- Reutersは政府協力筋からの情報として、バックドア悪用によるネットワーク侵害拡大に至るケースはわずかで、10分の1未満ではないかと報じている。
- ESETは少なくともCVE-2021-26855は複数のグループ(LuckyMouse(APT27)、Tick、Clypso、Wesiic、Winnti、TontoT Team、ShadowPad、Mikroceen、DLTMiner、その他未特定のグループ)により悪用されていたことを確認している。
Most targets are located in the US but we’ve seen attacks against servers in Europe, Asia and the Middle East. Targeted verticals include governments, law firms, private companies and medical facilities. 3/5 pic.twitter.com/kwxjYPeMlm
— ESET research (@ESETresearch) 2021年3月2日 - Kasperskyのリサーチャー Riau氏はLemon_Duckと呼称されるグループによりXMRのコインマイナーをインストールする動きが確認されたと報告している。*4
Exploitコードの情報はある?
報告者のOrange氏による実証デモ動画が公開されている。(Exploitコードは公開されていない)
www.youtube.com
ベトナムのセキュリティ研究者Nguyen Jang氏がGithubに脆弱性を組み合わせたリモートコード実行が可能なPoCを3月10日に公開。*5
- CVE-2021-26855とCVE-2021-27065の2つを組み合わせたもの。
- Githubは投稿から数時間後にこのPoCに係る情報を削除。潜在的な脅威に対応することが理由と取材に回答。*6
- PoCは若干の調整が必要であり、そのままでは機能しないとJang氏はコメントしている。
Microsoftが特定した「Hafnium」
- Microsoftは脆弱性悪用する国家支援の脅威アクターの名前を「Hafnium」と呼称。中国で活動しているとの見解を示している。またMicrosoftがHafniumを取り上げるのは初めて。中国政府報道担当者は今回の件に対し、国の関与はないとコメントをしている。
- FireEyeはこのアクターをUNC2639、UNC2640、UNC2643の3つのクラスターから追跡していることを明らかにしている。
- Hafniumは定例外で修正された脆弱性の内、4件を攻撃に悪用していた。
- Hafniumによる主要な攻撃対象は感染症研究者、法律事務所、高等教育機関、防衛請負事業者、政府系シンクタンク、NGOが挙げられている。
Microsoftが確認したHafniumの3つの攻撃ステップの手口は次の通り。
- 窃取したパスワードの利用、または当時未修正の脆弱性を悪用し特権アカウントを侵害しExchange Serverに接続する。
- 侵害したサーバーを遠隔制御するため、Webシェルを設置する。
- 米国拠点のリース仮想プライベートサーバー(VPS)からリモートアクセスを使用し、ターゲット組織のネットワークより情報を盗み出す。
Volexityが報告した攻撃に関連する情報は以下の通り。
- Volexityが脆弱性を悪用する攻撃を確認したのは2021年1月6日。顧客の2台のExchange Serverで異常なアクティビティ(正規のユーザーに紐づいていないIPアドレスに対し大量のデータの送出)を検出。
- 調査の結果、CVE-2021-26855を悪用する攻撃であることが判明。攻撃者は複数のユーザーのメールボックス全体のデータ窃取を行った。
Webシェルに関連する情報
Webシェル設置後は次の行動が確認されたという。
- procdumpを使用しLSASSのプロセスメモリをダンプ。
- 7-zipを使用し、窃取したデータのZIPアーカイブに圧縮。
- メールボックスデータをエクスポートするためにExchange PowerShellスナップインの追加と利用。
- Nishang を使用し、リバースシェルを起動
- PowerCatをGithubよりダウンロードし、リモートサーバーへ接続
Webシェルには次の機能や特徴が報告されている。
- 設置されたWebシェルは2種類が確認されている。
- EDR系製品の存在確認(FireEye xAgent、CarbonBlack、CrowdStrike Falcon)を行う。
- Exchange Serverのユニファイドメッセージングサービス(UMWorkerProcess.exe)で書き込みが行われている。(CVE-2021-26858の悪用示唆)
- 2つ目に設置されたWebシェルは高度な実装が行われており、任意コマンドの実行やファイル更新、削除、参照の機能が実装されていた。
トレンドマイクロはExchange Serverの脆弱性を悪用したとみられるWebシェルの事例を投稿している。*7
- 同社はAPSX Webシェル「Chopper」と呼称。
- OWAサーバーの中にWebシェルを設置しそのサーバーを介して遠隔操作を行うことを可能としていた。
- 同社が調査している時点でこのような行為が可能な脆弱性はその当時既知のCVE-2020-0688だが、3月に明らかになったProxyLogon等の脆弱性悪用が行われたかは特定されていない。
Ransomwareの悪用事例も
- 3月9日頃より、ProxyLogon等の脆弱性を悪用し、サーバーに攻撃を行った後にRansamwareを使用する事例が確認された。
- 使用されたRansomwareは「DEACRY」と呼称されるもので、BleepingComupterのフォーラムに支援トピが作成されている。(Microsoftは「DoejoCrypt」と呼称している。)
- MicrosoftもDEACRYがProxyLogon等の脆弱性を悪用してインストールされていることを確認している。
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel
— Phillip Misner (@phillip_misner) 2021年3月12日
- PaloAltoもDEACRYの解析記事を公開している。
影響を受けた台数
- オランダのサイバーセキュリティセンターは国内の約40%が脆弱な状態にあるという発表を行っている。
- DIVDが独自に行った調査では2021年3月8日時点で約46000件の脆弱なExchange Serverの存在が確認された。*8
- MicrosoftがRiskIQと行った共同調査では、3月12日の時点で約40万ホストの内、約82,000台のExchangeサーバーが更新されていなかった。*9
- ShadowServerが3月15日に公開した調査結果では(公開されている)59218台の脆弱性なExchangeサーバーのホスト数が確認されている。*10
- マクニカはShodanより検索された情報を元により精度の高い影響を受けた可能性のある台数の検証をした結果を公表している。*11
4. 脆弱性の注意喚起や公式情報を知りたい
国内外組織の注意喚起等
Microsoftが公開した記事等
- Microsoft Exchange Server 2019、2016、2013 用のセキュリティ更新プログラムについて: 2021 年 3 月 2 日 (KB5000871)
- New nation-state cyberattacks
- HAFNIUM targeting Exchange Servers with 0-day exploits
- Released: March 2021 Exchange Server Security Updates
- [PDF] 02 March 2021 -Exchange Server Security Update
- March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server
- Repair failed installations of Exchange Cumulative and Security updates
- オンプレミス Exchange 緩和ツール (ワンクリックの緩和ツール)
- Protecting on-premises Exchange Servers against recent attacks
- Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities
- Released: March 2021 Quarterly Exchange Updates
- Automatic on-premises Exchange Server mitigation now in Microsoft Defender Antivirus
- https://twitter.com/EurekaBerry/status/1366904563085664258
攻撃や手口を分析した記事等
- FireEye Detection and Response to Exploitation of Microsoft Exchange Zero-Day Vulnerabilities
- PaloAlto 脅威の評価: Microsoft Exchange Serverにおける4つのゼロデイ脆弱性の悪用が活発化
- Rapid7 Rapid7’s InsightIDR Enables Detection And Response to Microsoft Exchange 0-day
- DomainTools Examining Exchange Exploitation and its Lessons for Defenders
- praetorian Reproducing the Microsoft Exchange Proxylogon Exploit Chain
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2020年10月1日 | DEVCOREがMicrosoft Exchange Serverのセキュリティレビューを開始。 |
| 2020年12月10日 | DEVCOREがProxyLogonの脆弱性(CVE-2021-26855)を発見。 |
| 2020年12月30日 | DEVCOREが2つ目の脆弱性(CVE-2021-27065)を発見。 |
| 2020年12月31日 | DEVCOREが発見した脆弱性を組み合わせ、認証前のRCEエクスプロイトを完成。 |
| 2021年1月3日 | Volexityが当該脆弱性を悪用する動きを確認した最も早い日付。 |
| 2021年1月5日 | DEVCOREがMSRCポータルを通じMicrosoftにアドバイザリ、エクスプロイトを送信。 |
| 同日 | MicrosoftがCVE-2021-26855を確認。 |
| 同日 | MicrosoftがCVE-2021-27065を確認。 |
| 2021年1月8日 | MicrosoftがDEVCOREより報告された動作を確認。 |
| 2021年2月18日 | DEVCOREがMicrosoftにアドバイザリ案を提供、修正予定日を確認。 |
| 同日 | Microsoftが修正は3月9日を予定していると回答。 |
| 2021年2月23日 | MicrosoftがMAPP参加組織へPoCを含む脆弱性情報を通知。 |
| 2021年2月26日 | Exchange Serverの脆弱性を悪用する動きが大量に発生し始める。*15 |
| 2021年2月28日 | TickによるExploit悪用による活動が観測される。 |
| 2021年3月1日 | LuckyMouse、Calypso、WesiicによるExploit悪用による活動が観測される。 |
| 2021年3月2日 | Microsoftが予定より早く情報公開することを通知。 |
| 同日 | Microsoftが脆弱性情報と修正プログラムを公開。 |
| 2021年3月3日 | 脆弱性を悪用する大量の攻撃が観測される。 |
| 2021年3月5日 | MicrosoftがHafnium以外の複数の第三者による攻撃活動を確認したと報告。 |
- 脆弱性調整に係る詳細なタイムラインはDevcoreの公開した脆弱性情報サイトに記載されている。
インディケーター情報(IPアドレスのみ抽出)
Volexity
103.77.192[.]219
104.140.114[.]110
104.250.191[.]110
108.61.246[.]56
149.28.14[.]163
157.230.221[.]198
167.99.168[.]251
185.250.151[.]72
192.81.208[.]169
203.160.69[.]66
211.56.98[.]146
5.254.43[.]18
80.92.205[.]81
FireEye
165.232.154[.]116
182.18.152[.]105
89.34.111[.]11
86.105.18[.]116
Rapid7
165.232.154[.]116
157.230.221[.]198
161.35.45[.]41
45.77.252[.]175
104.248.49[.]97
194.87.69[.]35
更新履歴
- 2021年3月8日 AM 新規作成
- 2021年3月8日 PM 確認対象のログに誤りがあったため訂正
- 2021年3月10日 PM 続報反映(アップデート方法等)
- 2021年3月13日 PM 続報反映(悪用に関する情報、適用可能なCUの修正等)
- 2021年3月17日 PM 続報反映(影響を受けた台数等)
*1:More than 20,000 U.S. organizations compromised through Microsoft flaw,Reuters,2021年3月6日
*2:Chinese Hacking Spree Hit an ‘Astronomical’ Number of Victims,Wired,2021年3月5日
*3:At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software,KrebsOnSecurity,2021年3月5日
*4: The cybercriminals behind the #LemonDuck cryptocurrency mining botnet are massively hitting vulnerable Exchange servers via ProxyLogon. IOCs to check: p.estonine[.]com, cdn.chatcdn[.]net.
*5:PoC released for Microsoft Exchange ProxyLogon vulnerabilities,TheRecord,2021年3月10日
*6:Researcher Publishes Code to Exploit Microsoft Exchange Vulnerabilities on Github,Motherboard,2021年3月12日
*7:Webシェル「Chopper」を利用した最近の標的型攻撃事例を解説,Trend Micro,2021年3月11日
*8:https://csirt.divd.nl/2021/03/08/Exchange-vulnerabilities-update/,DIVD,2021年3月8日
*9:A Vulnerable World: RiskIQ’s Unique View of the Microsoft Exchange Landscape,RiskIQ,2021年3月12日
*10:Shadowserver Special Reports – Exchange Scanning #4,Shdowserver,2021年3月15日
*11:ProxyLogonのまとめとExchange Serverの利用状況について,マクニカ セキュリティ研究センターブログ,2021年3月8日
*12:マイクロソフト “提供システムに攻撃 中国系ハッカー関与”,NHK,2021年3月7日
*13:米3万組織に攻撃、中国系ハッカーか Microsoft標的,日本経済新聞,2021年3月6日
*14:40% van Nederlandse Microsoft Exchange Servers nog kwetsbaar,NCSC,2021年3月8日
*15:https://twitter.com/briankrebs/status/1368976709903671303
