チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research)はMicrosoft Exchange Serverで4件の脆弱性が明らかになったことを受け、世界中の組織に対するエクスプロイト試行に関する最新の調査結果を発表した。
2021年3月3日(日本時間)に、MicrosoftがMicrosoft Exchange Serverの脆弱性を公表してから、ハッカーとセキュリティ専門家の間で競争が始まっているという。Microsoft Exchange Serverのリモートコード実行の脆弱性を悪用したエクスプロイト作成のため活動しているハッカーに対抗しようと、世界中でセキュリティの専門家による大規模な予防的措置が講じられている。一旦Microsoft Exchange Serverを乗っ取ると、攻撃者はインターネットのネットワーク経由により、遠隔でアクセスできるようになるという。Microsoft Exchange Serverの多くにインターネットからのアクセス機能があり(特にOutlook Web Access機能)、広範なネットワークに統合されているため、何百万もの組織にとって重大なセキュリティ上のリスクとなるとしている。
チェック・ポイント・リサーチの主な調査結果
攻撃の試行数
最も攻撃を受けた国は米国(攻撃全体の17%)、次いでドイツ(6%)、英国(5%)、オランダ(5%)、ロシア(4%)と続いている。
最も攻撃を受けた業種は政府/軍関係(攻撃全体の23%)、次いで製造(15%)、銀行/金融サービス(14%)、ソフトウェアベンダー(7%)、医療関係(6%)となった。
ゼロデイ攻撃増加までの経緯
2021年3月3日、Microsoftは、Microsoft Exchange Server製品の緊急パッチをリリースした。電子メールの送受信やカレンダーの招待状など、OutlookでアクセスするほぼすべてがMicrosoft Exchange Serverを経由しているという。
2021年1月、台湾のセキュリティ企業のDEVCOREのチェンダ・サイ(Cheng-Da Tsai)氏〔Twitterアカウント名:オレンジ・サイ(Orange Tsai)〕が、Microsoft Exchange Serverに2件の脆弱性を発見している。これを受けてMicrosoftがすぐに調査を進めたところ、Microsoft Exchange Serverに新たに5件の重大な脆弱性が見つかったという。これらの脆弱性により、攻撃者は認証や個人の電子メールアカウントへアクセスを要さずMicrosoft Exchange Serverからメールを読むことができる。また、こうした脆弱性が続くと、攻撃者はメールサーバそのものを完全に乗っ取れるリスクを抱えていたとしている。
[画像クリックで拡大]
危険な組織
Microsoft Exchange Serverの最新パッチを使用しないまま、もしくはチェック・ポイントなどサードパーティのソフトウェアで保護せずMicrosoft Exchange Serverをオンラインに接続している場合、サーバは完全に侵害されていると考えるべきだという。サーバが侵害されていると、不正な攻撃者に企業メールが抽出され、高い権限で組織内に悪意のあるコードが実行可能となる。
技術的な詳細
- CVE-2021-26855は、Microsoft Exchangeのサーバサイドリクエストフォージェリ(SSRF)の脆弱性で、攻撃者が任意のHTTPリクエストを送信するとMicrosoft Exchange Serverとして認証される
- CVE-2021-26857は、Unified Messaging Serviceの一つの文字列やバイト列に変換されたデータを、もとの複合的なデータ構造やオブジェクトの実行状態などに復元する、安全でないデシリアライゼーションの脆弱性。安全でないデシリアライゼーションとは、信頼できないユーザーが制御できるデータがプログラムによってデシリアライズされることだとしている。この脆弱性を悪用すれば、HAFNIUM(ハフニウム)はMicrosoft Exchange Server上でSYSTEMとしてコードを実行できるようなる。そのためには管理者の許可を取るか、他の脆弱性を悪用する必要がある
- CVE-2021-26858は、Microsoft Exchange Serverでの認証後の任意のファイル書き込みの脆弱性。Microsoft Exchange Serverで認証できれば、HAFNIUMはこの脆弱性を利用してサーバ上のパスに書き込みを行うことができるという。CVE-2021-26855 SSRF脆弱性を悪用、あるいは正規の管理者の認証情報を侵害することで認証可能
- CVE-2021-27065は、Microsoft Exchange Serverでの認証後の任意のファイル書き込みの脆弱性。Microsoft Exchange Serverで認証できれば、HAFNIUMはこの脆弱性を利用してサーバ上のパスに書き込みを行うことができるとしている。認証は、CVE-2021-26855 SSRF脆弱性を悪用、あるいは正規の管理者の認証情報を侵害することで可能
今後の攻撃予防推奨方法
- パッチ:Microsoft Exchange Serverを今すぐ更新し、マイクロソフトから入手できる最新のパッチを適用する。この更新は自動では実施されないため、手動で行う必要がある
- 脅威防御対策:チェック・ポイントは、マイクロソフトから報告された脆弱性に対して次の通り脅威防御対策を実施し、包括的なセキュリティを提供する
IPS
- CVE-2021-26855 - CPAI-2021-0099
- CVE-2021-26857 - CPAI-2021-0107
- CVE-2021-26858 - CPAI-2021-0107
- CVE-2021-27065 - CPAI-2021-0099
脅威エミュレーション
- Trojan.WinsCVE-2021-27065.A
ウイルス対策
- HAFNIUM.TC. XXX
- Trojan.Win32.Hafnium.TC.XXX
チェック・ポイントのSandBlast Agent
- Behavioral.Win.SuspExchange.A
- Behavioral.Win.SuspExchange.B
- Behavioral.Win.SuspExchange.C
- Behavioral.Win.SuspExchange.D
今回の攻撃は「Sunburst」と同様、特に一般的なプラットフォームがフロントドアとして使用され、ネットワーク内にひそかに侵入し、長期にわたり滞在するためのフロントドアとして使用されている。唯一の救いは、高度な技術を備え資金も十分にある脅威アクターでなければ、フロントドアを利用して世界の何万もの組織に侵入できる可能性はないことだという。
こうした攻撃の目的や、サイバー犯罪者がネットワーク内で実行しようとしていたことはまだ不明。リスクにさらされた組織はMicrosoft Exchange Serverに対して予防的措置を講じるだけでなく、ネットワークに生きた脅威がないか十分確認し、調査する必要があるとしている。
【関連記事】
・チェック・ポイント、2021年のサイバーセキュリティ予測を発表 ディープフェイクの武器化などに警鐘
・75%がパブリッククラウドのセキュリティを懸念していると判明 チェック・ポイントがレポートを発表
・アルテリア・ネットワークスとチェック・ポイント、中小企業向け「ビジネスセキュリティ UTM」を提供開始
