Microsoftは先日、Exchange Serverの複数の脆弱性に対処するため、定例外のパッチを公開しました。同社によると、このうち4つの脆弱性はすでに標的型攻撃で使用されており(英語)、早急にパッチのインストールが求められます。
どのような危険性があるのか
このパッチの修正対象のうち最も危険な脆弱性4つは、すでに攻撃に使用されています。この攻撃は3段階で進行します。攻撃者は最初にExchange Serverにアクセスし、続いてサーバーへのリモートアクセス用にWebシェルを作成し、最後に、このアクセスを通じて標的のネットワークからデータを盗み出します。攻撃に使用される脆弱性は以下のとおりです。
- CVE-2021-26855— サーバーサイドリクエストフォージェリ(Server Side Request Forgery:SSRF)に使用される可能性があり、結果としてリモートでコードが実行されます。
- CVE-2021-26857 — システムの代わりに任意コードを実行するのに使用される可能性があります(ただし、そのためには管理者権限またはCVE-2021-26855脆弱性の悪用が必要です)。
- CVE-2021-26858、CVE-2021-27065 —サーバー上のファイルを上書きするのに使用される可能性があります。
サイバー犯罪者は、この4つの脆弱性を一つずつ順番に使用します。しかしMicrosoftによると、攻撃の最初の段階で、CVE-2021-26855を使用するのではなく盗んだログイン情報を使用してサーバー上で自らを認証する場合もあります。
このパッチは、Exchange Serverに存在する、上記以外の小さな脆弱性複数も修正します。これらの脆弱性は、私たちの知るかぎり、活動中の標的型攻撃と直接の関連はありません。
影響を受けるのは誰か
クラウド版のExchangeは、これら脆弱性の影響を受けません。影響を受けるのは、インフラ内に配備されているサーバーです。Microsoftは当初Microsoft Exchange Server 2013、Microsoft Exchange Server 2016、Microsoft Exchange Server 2019に対するパッチを提供し(英語記事)、追加でMicrosoft Exchange Server 2010のパッチをリリースしました。しかしながら、悪用の深刻度を鑑み、サポート対象外である古いバージョンのExchange Serverに対する修正プログラムも後から公開しています(英語記事)。
同社のリサーチャーは、これら脆弱性を悪用し、機密情報を盗み出したのは、Hafniumグループのハッカーだとしています。彼らの標的は米国の感染症研究者、法律事務所、非営利組織、政治アナリストなどさまざまな業種にわたっています。被害者の正確な数は不明ですが、KrebsOnSecurityの記事によると(英語)、米国内の少なくとも3万組織がこの脆弱性を通じたハッキングに遭っており、その中には小規模企業、市や町の当局、地方自治体が含まれるとされています。当社のエキスパートによる調査では、危険に直面しているのは米国内組織だけではなく、世界各地でこの脆弱性が悪用されていることが判明しています。攻撃の地理的分布については、Securelistの記事(英語)をご覧ください。
Microsoft Exchangeに対する攻撃への対策は
- 何よりもまず、Microsoft Exchange Serverにパッチを適用しましょう(英語)。自社の事情によりパッチの適用ができない場合は、Microsoftより緩和策が推奨されているので、そちらを参考にしてください。
- Microsoftは、Exchange Serverのポート443への不正アクセスを拒否すること、または企業ネットワーク外からの接続を全般的に制限することで、攻撃の初期段階を阻止可能であると述べています。しかし、攻撃者がすでにインフラ内へ侵入している場合、または悪意あるファイルの実行に必要な管理者権限をすでに手にしている場合は、その方法では対処できません。
- 悪意あるふるまいを検知するには、社内に担当エキスパートがいる場合はEndpoint Detection and Response(EDR)クラスのソリューションを導入します。そうでない場合は、外部のManaged Detection and Response(MDR)サービスの利用を検討してください。
- 脆弱性の悪用を防ぎ、悪意あるふるまいを積極的に検知するには、エンドポイントかサーバーかを問わず、インターネットに接続するデバイスすべてに信頼できるエンドポイントセキュリティソリューションを導入することが重要です。