CVE-2022-41040 および CVE-2022-41082:Microsoft Exchange Server における未パッチのゼロデイ脆弱性

マイクロソフトは、2022年9月29日深夜に両ゼロデイ脆弱性を確認し、"2つの脆弱性を利用してユーザーのシステムに侵入する限定的な標的型攻撃 "を認識していると発表しました。CVE-2022-41040およびCVE-2022-41082として追跡されているこの脆弱性は、9月30日の時点でどちらもパッチが適用されていませんが、Microsoftは修正プログラムをリリースするスケジュールを前倒しで進めていることを示しました。

• CVE-2022-41040 は、Server-Side Request Forgery (SSRF) の脆弱性
• CVE-2022-41082 は、PowerShell が攻撃者にアクセス可能な場合、リモートでコードを実行される可能性あり

どちらの脆弱性も、攻撃者が認証されたネットワークにアクセスすることが必要です。今回の攻撃は、昨年発生した悪名高いProxyShellの悪用チェーンの亜種と思われます。注：これらの脆弱性を利用した攻撃は、今のところ2つのCVEを連鎖させていますが、どちらかが単独で利用されたり、別の脆弱性と連鎖する可能性は十分にあります。

セキュリティ研究者は、ProxyShellのパッチが適用されていない、あるいは不適切なパッチが適用されているExchange Serverがまだ数多く存在し、このため攻撃者は、この最新のキャンペーンに対してある程度耐性があるシステムに容易に侵入することができると指摘しています。2022年9月初旬の時点で、Rapid7 Labsは、443番ポート経由でインターネットに公開されているExchange Serverを最大191,000台観測しています。

脅威インテリジェンス

GTSCのオリジナルブログでは、観測した攻撃について、各種IOC、マルウェア解析、MITRE ATT&CKマッピングなど、詳細な情報が掲載されています。

また、マイクロソフトは9月30日、これらの脆弱性を利用して観測された攻撃に関する追加情報を公開しました。

「MSTIC は、2022 年 8 月に、少数の標的型攻撃で CVE-2022-41040 と CVE-2022-41082 を連鎖させて初期アクセスを達成し Exchange サーバを侵害した、単一の活動グループに関する活動を観察しました。これらの攻撃は、ハンズオンキーボードアクセスを容易にするために Chopper Web シェルをインストールし、攻撃者はこれを使用して Active Directory の偵察とデータ流出を実行しました。マイクロソフトは、これらの攻撃を世界で10未満の組織で観測しました。MSTICは、単一の活動グループが国家に支援された組織である可能性が高いと、中程度の信頼度で評価しています。"

緩和策

繰り返しになりますが、2022年9月30日現在、CVE-2022-41040とCVE-2022-41082の両方が未パッチとなっています。パッチがない場合、マイクロソフトは、オンプレミスのExchangeの顧客に対して、既知の攻撃パターンをブロックするために「IISマネージャ→デフォルトのWebサイト→自動検出→URL書き換え→アクション」でブロックルールを適用するように指示しました。組織は、マイクロソフトの指示に従い、緊急に緩和策を適用する必要があります。

マイクロソフトは、URLリライト（緩和）の完全なステップバイステップの手順をここで紹介しています。

マイクロソフトは、上記のリンク先の URL Rewrite コマンドが、現在の攻撃チェーンを破壊することに成功したことを確認しました。脆弱なExchangeシステム上のPowerShell Remotingにアクセスできる認証された攻撃者は、CVE-2022-41082を使用してRCEを引き起こすことができます。リモートPowerShellに使用されるポートをブロックすることで、これらの攻撃を制限することができます。したがって、オンプレミスのExchangeシステムのユーザーは、マイクロソフトのURL Rewrite Instructionsを確認および適用し、公開されているリモートPowerShellポートをブロックする必要があります。

• HTTP: 5985
• HTTPS：5986

マイクロソフトは、Exchange Online の顧客は何もする必要がないことを明確に述べています。ただし、ハイブリッド（オンプレミスとクラウドが混在する）Exchange 環境を使用している組織は、オンプレミスのガイダンスに従う必要があることに注意してください。詳細については、マイクロソフトの公式ブログを参照してください。

Rapid7のお客様

InsightVMおよびNexposeのお客様は、2022年9月30日のコンテンツ限定リリース（Jar UpdateID：144473189）で利用できるリモート脆弱性チェックにより、CVE-2022-41040およびCVE-2022-41082に対する露出度を評価することが可能です。このチェックにより、マイクロソフトが推奨する緩和策が適用されているかどうかが確認されます。お客様は、クエリービルダーまたはダイナミックアセットグループを使用して、Exchangeがインストールされているシステムを特定することもできます。

GTSC のブログで説明されている動作は、過去 18 ヶ月間に Exchange を標的とした他の攻撃と類似しています。Rapid7 の InsightIDR と Managed Detection & Response (MDR) の顧客は、現在知られているエクスプロイト後の攻撃者の行動に対して検出機能を備えていますが、これらに限定されるものではありません。

• 不審なプロセス - Outlook Web Accessによって生成されたプロセス
• 不審なプロセス - Exchangeサーバーがプロセスを起動する
• 攻撃手法 - URLCacheフラグを持つCertUtil
• Webshell - チャイナチョッパーによるコマンドの実行
• Suspicious Process - Executable Runs From C:\Perflogs

InsightIDRのお客様には、これらの検知ルールのルールアクションと優先度を確認し、自社のセキュリティニーズに合致していることを確認することをお勧めします。MDRのお客様は、これまで通りRapid7 SOCが積極的に監視しています。お客様の環境で疑わしい活動が検出された場合、カスタマーアドバイザーからご連絡を差し上げます。

補償内容の追加や強化など、さらなる情報は随時このブログでお知らせしていきます。

更新情報

2022年9月30日：マイクロソフトは、2つの新しいゼロデイ脆弱性、CVE-2022-41040とCVE-2022-41082が、"限定的な標的型攻撃 "で悪用されていることを確認しました。マイクロソフトは、緩和策ガイダンスを公開しました。当社のエンジニアリングチームは、InsightVMとNexposeのお客様がこれらの脆弱性への暴露を評価できるようなオプションを調査しています。InsightIDRのお客様は、既存の検出範囲をご利用いただけます。
[16:30 ET] 新たにリリースされたInsightVMとNexposeの脆弱性チェックに関する情報を更新しました。

2022年10月1日：緩和策のセクションの文言と方向性を明確化し、これらの脆弱性を利用した攻撃に関するマイクロソフトの分析を掲載した脅威情報のセクションを追加しました。

本ブログは英語ブログ、"CVE-2022-41040 and CVE-2022-41082: Unpatched Zero-Day Vulnerabilities in Microsoft Exchange Server"の機械翻訳に基づいています。最新情報は英語版ブログをご参照ください