ProxyShell
Microsoft Exchange Serverはとても高機能なサーバーソフトウェアです。
そしてその機能の高さゆえなのか、多くの脆弱性がこれまで確認されてきています。
2021年3月には「ProxyLogon」と呼ばれる複数の脆弱性が対策されました。
ちなみに、このProxyLogonは、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性です。
このProxyLogon(CVE-2021-26855)を認証後に任意のファイルへの書き込みが可能な脆弱性(CVE-2021-27065)と組み合わせて使用することで攻撃者はリモートでのコード実行が可能になります。
このProxyLogonに関連する脆弱性を発見した研究者が、今回はこのProxyShellと呼ばれる脆弱性を発見しています。
ProxyShellの流れはこういうものです。
- 認証を回避する(CVE-2021-34473を悪用)
- 権限の昇格を実施する(CVE-2021-34523を悪用)
- リモートからコードを実行する(CVE-2021-31207を悪用)
たったこれだけです。
Exchange Serverの443番ポートに到達できさえすれば、これら脆弱性の連鎖によって認証なしに任意のコマンドが実行可能なのです。
攻撃の開始の部分からリモートからのコードの実行完了に至るまでの途中に、人間の操作ミスを誘う必要がある部分は一切ありません。
単に接続できる場所にあるExchange Serverさえ発見できれば、この行為は成り立つのです。
個人を狙った攻撃活動においては今もフィッシングメールから始まるものは多いのではないかお思います。
しかしランサムウェア攻撃の攻撃開始部分については、このような脆弱性の悪用から始まるものも多くあります。
セキュリティへの注目が高まったことにより、以前よりもセキュリティ対策が意識されるようになりました。
企業においても社員個人としては、修正パッチの適用を自分のPCに実施するということは従来よりは高い頻度で行われるようになってきてかもしれません。
しかし企業のシステムを構成するサーバ機器群はどうでしょうか。
まだまだ必ずしも社員のPCのように高い頻度で修正パッチの適用ができていないケースがあるのではないかと思います。
理由はあることでしょう。
- 特定部署が対象サーバを利用しており、ある時期はサーバメンテナンスの実施ができない
- 連係動作する要素サーバが多くあるシステムのため、修正パッチ適用後にこれまで通りの連係動作ができるかを、事前にステージング環境で確認しなければならない
- 対象サーバ上で利用している特定のアプリケーションが動作しなくなっては困るため、修正パッチの適用の前にベンダーに適用しても大丈夫か問い合わせなければならない
まだまだあるでしょう。
こういったことに対応している間にも時間は流れていきます。
そしてその間に、攻撃者はあなたのシステムを発見するかもしれません。
対策は単純です。
修正パッチを適用することです。
継続的な対策も単純です。
修正パッチをタイムリーに適用することです。
単純かもしれないけれど簡単ではないのだ、ということもあるのかもしれません。
そういうこともあるのかもしれません。
でもそうもいっていられないということも理解いただけるのではないでしょうか。
ちなみに、この発見者である研究者は、ProxyOracleと呼ばれる脆弱性も発見しています。
さらに新しい脆弱性についての公開準備も進んでいるそうです。
セキュリティ界隈の状況は変化していきます。
個人もそうですが、会社も変わらなければならないのかもしれません。
参考記事(外部リンク):LockFile Ransomware Attacks Exploit ProxyShell
Vulnerabilities on Unpatched Microsoft Exchange Servers | #malware |
#ransomware
nationalcybersecuritynews.today/lockfile-ransomware-attacks-exploit-proxyshell-vulnerabilities-on-unpatched-microsoft-exchange-servers-malware-ransomware/
