This post is also available in: English (英語)
背景
2021年3月2日、セキュリティコミュニティに対し、Microsoft Exchange Serverの4つの重大なゼロデイ脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)が知らされました。
これらの脆弱性により、攻撃者はExchange Serverにアクセスし、被害環境に長期にわたってアクセスできるようになる可能性があります。Microsoft Threat Intelligence Center(MSTIC)は、最初のキャンペーンについて、高い確度でこれがHAFNIUMという中国で活動している国家支援のグループからのものであると評価しています。また、MSTIC、Unit 42を含む複数の脅威インテリジェンスチームは、複数の脅威アクターがこれらのゼロデイ脆弱性を実際に悪用している様子を観測しています。侵害された可能性のある推定組織数は世界数万社にのぼります。なお、これらの脆弱性はセキュリティ更新の提供開始の少なくとも2か月前から、活発にエクスプロイトされていた点が非常に重要です。つまり提供開始後ただちに修正プログラムを適用した場合でも、Exchange Serverが侵害されている可能性があるということです。さらに、パロアルトネットワークスExpanseプラットフォームから収集されたテレメトリに基づけば、修正プログラムが適用されていないExchange Serverは、世界中に125,000台以上残っていると推測されています。
以下に、組織環境内にある潜在的脅威への対応にあたり参考となる簡潔なプレイブックを示します。
1) 組織内の全Exchange Serverを特定し、修正プログラム適用の必要性を判断する
Exchange Onlineは影響を受けません。
同脆弱性からの影響を受けるExchange Server のバージョンは2013、2016、2019です。Exchange 2010はExchange Server 2013、2016、2019と同じ攻撃チェーンに対する脆弱性ありませんが、MicrosoftはExchange 2010のCVE-2021-26857用に修正プログラムを公開しています。また同社はサポート終了済みの古いバージョンのExchange用についても最近追加ガイダンスを公開しています。
Microsoftは、すべてのExchange Serverに更新プログラムをインストールすること、とくに外部やインターネットに向いたサーバーを優先してその対応を行うことを推奨しています。Exchange Serverがインターネット接続されていない場合でも、ネットワークになんらかの方法で到達可能の場合、これらの脆弱性が悪用される可能性はあります。
MicrosoftはExchange Serverの次の特定のバージョンの更新に関する情報を公開しています。
Exchange Server 2019(更新には累積更新プログラム(CU)8ないし7が必要)
Exchange Server 2016(更新にはCU19またはCU18が必要)
Exchange Server 2013(更新にはCU 23が必要)
Exchange Server 2010(更新にはSP3または任意のSP3 RUが必要 - これは多層防御の更新)
2) 全Exchange Serverに修正プログラムを適用して保護する
ご使用のバージョンのExchange Serverの定例外セキュリティ更新プログラムをインストールします。
Exchange Serverをただちに更新できない場合や修正プログラムをすぐに適用できない場合は、いくつか緩和策と回避策が用意されていますので、これにより攻撃者がExchange Serverを悪用する可能性を減らすことができます。ただしこれは修正プログラムの適用完了までの一時的処置とする必要があります。パロアルトネットワークスの次世代ファイアウォール(NGFW)で、Exchange Serverへのインバウンドトラフィックに対してSSL復号を有効化し、脅威防御をContent Pack 8380以降に更新している場合、これらの脆弱性から保護されます。Cortex XDRをExchange Server上で実行している場合、これらの攻撃でよく使用されるWebシェルアクティビティを検出・防止することができます。
最初の攻撃に成功するには、Exchange Serverの443/tcpに対し、信頼されていない接続を確立できなければなりません。未信頼ユーザーからのシステムアクセスを制限することでこれを防げます。そのためには、VPNを介してすでに認証されているユーザーからのシステムアクセスのみ許可するか、ファイアウォールを使用して特定ホストないしIP範囲へのアクセスを制限します。ただし、この緩和策による保護が有効であるのは攻撃の最初の段階に対してのみです。攻撃者がすでにネットワークにアクセス済みの場合や、管理者に悪意のあるファイルを開かせることに成功した場合は、攻撃チェーンの残りの部分をトリガー可能です。
セキュリティサブスクリプションを備えたファイアウォール、Cortex XSOARによる自動化、Cortex XDRによるエンドポイント保護など、パロアルトネットワークス製品の使用に関する詳細はこちらの脅威の評価をご確認ください。
3) Exchange Serverが侵害を受けたかどうかを確認する
これらの脆弱性はすでに1か月以上にわたって広く活発な悪用が見られており、悪用のもっとも早い兆候は2021年1月3日にまでさかのぼります。このため脆弱性のあるバージョンのExchange Serverを実行している組織は、サーバーの侵害有無を評価する必要があります。システムにセキュリティ更新を適用しても、すでに展開されてしまったマルウェアが削除されることはありません。Outlook WebAccessかExchange Webサービスをインターネットに公開しているExchange Serverについては、なんらかの方法で安全であるという確認がとれないかぎり、侵害されたとみなすのが賢明です。
Exchange アプリケーションのプロセスやインターネットインフォメーションサービス(IIS)のコンテキストで実行されている疑わしいプロセスやシステム上の振る舞い、たとえばPowerShell、コマンドシェル(cmd.exe)、アプリケーションのアドレス空間で実行されているプログラムなどがないかどうかを確認してください。パロアルトネットワークスCortex XDR Proのエンドポイント保護を使用してご使用中の環境で攻撃のハンティングを行う方法については「Microsoft Exchange Serverを標的とした最近の攻撃の捜索」で説明していますので参照してください。
MicrosoftはPowerShellとNmapスクリプトを公開し、これらのエクスプロイトによる侵害の兆候がないかどうかExchange Serverをチェックできるようにしています。また同じ場所で別のスクリプトも公開されています。そちらのスクリプトでは、Exchange Serverの仮想ディレクトリのファイルと、特定Exchangeバージョンで想定されるファイルとの違いがわかるようになっています。米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)もTPP(戦術、技術、手順)のリストを公開しています。
Unit 42の脅威評価の行動方針表にも記載しましたが、Exchangeへの攻撃を実行する最初の攻撃者が使用した侵入後のTTPには、次のものが含まれています。
- Procdumpを使ってLSASSプロセスメモリをダンプする
- 7-Zipを使って窃取したデータをZIPファイルに圧縮して漏出する
- Exchange PowerShellスナップインを追加・使用してメールボックスデータをエクスポートする
- Nishang Invoke-PowerShellTcpOneLineリバースシェルを使用する
- PowerCatをGitHubからダウンロードしそれを使ってリモートサーバーへの接続を開く
最初の攻撃以降、他のアクターもExchangeの同脆弱性をフル活用しようともくろんでいると予想されますが、その動機・目的・TTPは大きく異なる可能性があります。
4) 侵害が疑われる場合はインシデント対応チームへご連絡を
すでにいずれかの時点でExchange Serverが侵害されていると考えられる場合でも、先に述べた同脆弱性からのExchange Server保護措置は講じる必要があります。それにより、ほかの攻撃者がシステムをさらに侵害しないようにすることができるからです。なおご使用のバージョンのExchange Serverに定形外のセキュリティ更新プログラムをインストールすることは非常に重要ですが、それだけでシステムに既にインストールされているマルウェアが削除されることはありませんし、ネットワーク内に存在する脅威アクターが排除されることもありません。
先に説明したようなアクティビティが継続していること、攻撃で悪用される脆弱性の性質、侵害の背後にいると考えられる攻撃者、これらを考え合わせると、この状況による潜在的な影響はきわめて重大です。これらの脆弱性悪用で業務が停止しなかった場合でも、機密情報やシステムへのアクセスは確かに可能ですので、そうした事象が発生していたものと見なす必要があります。企業の電子メールへのアクセスもフォローアップフィッシング攻撃につながる可能性があります。
侵害が疑われる場合は、インシデント対応計画を策定する必要があります。インシデントレスポンスサービスが必要な場合はパロアルトネットワークスまでご相談ください。infojapan@paloaltonetworks.com。
追加リソース:
- China Chopper Webシェルを使用したMicrosoft Exchange Serverに対する攻撃の分析
- 脅威の評価: Microsoft Exchange Serverにおける4つのゼロデイ脆弱性の悪用が活発化
- Microsoft Exchange Serverを標的とした最近の攻撃の捜索
- HAFNIUM targeting Exchange Servers with 0-day exploits
- Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
- Mass Exploitation of Exchange Server Zero-Day CVEs: What You Need to Know
- Multiple Security Updates Released for Exchange Server