2020年、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」は、ZDIプログラム史上最多となる1,453件のアドバイザリを発表しました。加えて、そのうちの18.6%については公開時にベンダによる修正プログラムが提供されておらず、記録的な1年となりました。そして2021年も、ZDIの予測通り、引き続き多忙な年となっています。2021年3月、Microsoftは中国のハッキンググループ「HAFNIUM」による大規模な攻撃に、オンプレミス版のMicrosoft Exchange Serverの4つのゼロデイ脆弱性が利用されたことについてアドバイザリを発表し、修正プログラム(パッチ)の緊急公開を開始しました。攻撃が確認された数日後、米国において少なくとも3万の組織が攻撃を受けたという報道が行われ、トレンドマイクロもこれらの脆弱性を悪用する攻撃に対して脆弱な公開サーバが約87,000台存在していることを発表しました。
以降、この脆弱性に目を付けた様々なサイバー犯罪者や、「Dearcry」「BlackKingdom」といったランサムウェア攻撃を仕掛けるグループによる悪用が発生しています。Exchange Serverの拡張機能であるWebメールサービス「Outlook Web App」のポータルサイトの大半は公開されており、Google Search、Shodan、Binaryedge、Censys、Zoomeyeなどの検索エンジンにインデックスされているためです。インターネットに接続されたデバイスを対象とする検索サービス「Shodan」によると、パッチがリリースされた翌日の3月4日、この「ProxyLogon」と命名された脆弱性に未対処のExchange Serverが26万6千台以上存在していました。
図1:Shodanによる検索結果
本記事では、トレンドマイクロのソリューション「Trend Micro Vision One™」と「Trend Micro Cloud One™」がどのようにして問題の4件のゼロデイ脆弱性のうちの2件、「CVE-2021-26855」と「CVE-2021-27065」を利用する攻撃に対処するかを解説します。
■「ProxyLogon」脆弱性の概要
この脆弱性は、Exchange Serverのプロキシアーキテクチャとログオンメカニズムに存在するバグを発見したDEVCOREのリサーチャーによって「ProxyLogon」と名付けられました。DEVCOREは、4件のゼロデイ脆弱性のうち2件「CVE-2021-26855」および「CVE-2021-27065」をマイクロソフト セキュリティ レスポンス センター(MSRC)に報告しています。3月2日、これらの脆弱性を実際に悪用した攻撃をVolexityが報告し、続いてDEVCOREは、報告された脆弱性が先にMSRCに報告したものと同じであることを確認しました。まずはこの脆弱性の概要について説明します。
リモートコード実行を可能にするには、2つの脆弱性を連鎖させる必要があります。攻撃を成功させるためには、脆弱なMicrosoft Exchange ServerのOutlook Web Appポータルへのアクセスおよび有効なメールアドレスが必要です。
1. CVE-2021-26855: Microsoft Exchange Serverのリモートコード実行の脆弱性(認証前のサーバサイドリクエスト偽造(SSRF))
2. CVE-2021-27065: Microsoft Exchange Serverのリモートコード実行の脆弱性(認証後の任意のファイル書き込み)
図2:Microsoft Exchange クライアントアクセスプロトコルのアーキテクチャ
クライアントアクセスサービス(Outlook Web App ポータル)は、バックエンドサービスへの受信接続をプロキシします。Exchange のドキュメントによると、クライアントはバックエンドサービスに直接接続することはありません。しかし、SSRF の脆弱性を突くことにより、攻撃者はフロントエンドプロキシを迂回して、Exchange Server 上の内部バックエンドサービスおよび API に直接問い合わせを行うことができます。
攻撃者は、SSRF を悪用することでExchange コントロールパネルのコンテキストを持つ特権アカウントのセッション ID とアクセストークンを作成することができます。このアクセストークンを使用して、攻撃者が制御するコンテンツを含むファイルを攻撃者が選択したターゲットサーバ上の場所に書き込むことができます。ExchangeはIIS(Internet Information Services)Webサーバに依存しているため、攻撃者はASPX Webシェルを記述し、Exchange Server上にてSYSTEM権限で任意のコマンドを実行することができます。
2021年1月には、攻撃者が公開されているOutlook Web Appサーバ上で活動を永続化するために、Exchange Server の脆弱性を利用しASPX Webシェル「Chopper」を広範囲に設置していた標的型攻撃が確認されています。
■Trend Micro Cloud One™ – Workload Securityによる相関分析
Trend Micro Cloud One™ – Workload Securityは、データセンター/クラウド/コンテナを保護する多層防御・脆弱性対策を提供するクラウド型セキュリティです。ワークロードセキュリティは、侵入防御(IPS)、DPI(Deep Packet Inspection)、 変更監視などの高度なセキュリティ制御を使用して、ProxyLogon の脆弱性を悪用する攻撃者から Exchange Server を保護します。以下はこの脆弱性から脆弱な Exchange Server を保護するための検出ルールです。
侵入防御システムによる検出ルール:
- 1010854 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-26855)
- 1010868 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-27065)
- 1010870 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-27065) – 1
- 1007170 – Identified Suspicious China Chopper Webshell Communication (ATT&CK T1100)
- 1005934 – Identified Suspicious Command Injection Attack
変更監視による検出ルール:
- 1010855 – Microsoft Exchange – HAFNIUM Targeted Vulnerabilities
1010854 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-26855)
1007170 – Identified Suspicious China Chopper Webshell Communication (ATT&CK T1100)
1010870 – Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-27065) – 1
1005934 – Identified Suspicious Command Injection Attack
IMルール:
1010855 – Microsoft Exchange – HAFNIUM Targeted Vulnerabilities
■Trend Micro Vision One™ による相関分析
図3:検出されたMicrosoft Exchange Server RCEの脆弱性(CVE-2021-26855 + CVE-2021-27065)
Trend Micro Vision One™は、高度なスレットインテリジェンスでゼロトラストの実現を支えるサイバーセキュリティプラットフォームです。機能の一つであるTrend Micro XDR™ は、メール、エンドポイント、サーバ、クラウドワークロード、ネットワーク全体の活動データを収集して関連付けを行い、より広範な視点と優れたコンテキストが提供されます。これは、脅威の特定を容易にし、効果的な攻撃の阻止を実現します。
Trend Micro Vision One™のWorkbenchを使用すると、検出された脅威、攻撃手法、リスクのあるデバイスやユーザの優先順位リストを簡単に確認することができます。今回、Trend Micro Vision One™を用いて、一般に公開されているProxyLogonの脆弱性を悪用する概念実証(Proof of Concept、PoC)を実行しました。図3は、検出された脆弱性と、さらに調査するためアラートに関連するすべてのアセットを示しています。さらに詳細を解説します。
図4:「Potential Chopper Webshell Execution(Webシェル「Chopper」実行)」モデル
「Potential Chopper Webshell Execution」モデルは、Webシェルが既にコンピュータ上に存在し、遠隔操作ツール「China Chopper」を使いExchange Server上にてSYSTEM権限でコマンドを実行するためのバックドアとして使用されていた場合にトリガーされます。
ゼロデイ脆弱性であるProxyLogonは、この脆弱性についてMicrosoftが公に対処する以前に攻撃に利用されていたため、このモデルで提供される指標は慎重に調査する必要があります。以来Microsoftはサポート対象外のバージョンのMicrosoft Exchangeにもパッチを作成し、さらに対処を拡大しました。全体としてMicrosoftは3月中に89件の脆弱性に対してパッチをリリースしており、そのうち14件は深刻度が「Critical(緊急)」、75件は「Important(重要)」とされています。
図5:「Microsoft Exchange Server Possible ASPX Web Shell(Microsoft Exchange Server上のASPX Webシェル)」モデル
図5に示されるモデルは、新しい Web シェルが作成されるとトリガーされます。Web シェルのパスと名前が確認できます。
図6:「Potential Chopper Webshell Execution(Webシェル「Chopper」実行)」モデル
図7:「Identified Suspicious China Chopper Webshell Communication(特定されたChina Chopper Webシェルのコミュニケーション)」モデル
図8:「Possible Credential Dumping via Command Line(コマンドラインによる認証情報ダンピング)」モデル
このモデルは、攻撃者がMimikatzを使用し、コマンドラインを使ってメモリ内から認証情報を取得した場合にトリガーされます。WebシェルはSYSTEM権限で実行されるため、脆弱性を突くことに成功した攻撃者はログインしているユーザのNT LAN Manager(NTLM)ハッシュを取得したり、アカウントを作成または削除したりするなど、Exchange Server上で広範な活動を行うことができます。
図9:SYSTEM権限でMimikatzを実行する
図10:「System Owner User Discovery(システムオーナー/ユーザを特定)」モデル
上記のモデルは、WebシェルChopperから「whoami」を実行したときにトリガーされました。ASPX Webシェルへのリクエストは特権を持つw3wp.exeによって処理されるため、設定されたIISアプリケーションプール(Microsoft Exchange App プール)内のIIS Worker Processが、NT Authority\SYSTEMユーザのコンテキストでコマンドを実行します。
根本原因分析(RCA)図:
図11:ChopperのC&Cによるコマンドの実行
■まとめ
巧妙化する今日の脅威から組織のユーザやインフラストラクチャを保護するには、高度なセキュリティを実装するだけでなく、防御の穴から侵入する脅威に迅速に対応できる機能が必要です。高度な保護を何層に重ねても 100% の保護はあり得ません。たった 1 つの脅威がうまくすり抜けるだけで、組織に重大なリスクがもたらされるのです。重大で広範に及ぶ損害を防ぐためには、脅威をできる限り阻止すること、そして、もしも脅威が入り込んだ場合には迅速に検知、対応することをゴールとして定める必要があります。
参考記事:
- 「Could the Microsoft Exchange breach be stopped?」
By Nitesh Surana
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
