エクスプロイト&脆弱性
Microsoft Exchange Serverでゼロデイ攻撃が発生
現地時間2022年9月28日、ベトナムに本拠を持つセキュリティ企業「GTSC」はMicrosoft Exchange Serverの未修正の脆弱性を悪用するゼロデイ攻撃が発生していることについてのブログを公開しました。このゼロデイ攻撃に利用されている脆弱性については、トレンドマイクロが運営するZero Day Initiativeを経由し既にマイクロソフトへも報告されています(ZDI-CAN-18333、ZDI-CAN-18802)。既に攻撃が発生していることから、速報と共にMicrosoft Exchange Serverの利用者に対する注意喚起といたします。
※2022年9月30日18:00更新
- 日本時間2022年9月30日、マイクロソフトはこの脆弱性に関するMSRC(Microsoft Security Response Center)のブログ記事を公開しました。CVE番号として、CVE-2022-41040、CVE-2022-41082が採番されており、現時点での緩和策についても言及されていますのでご参照ください
- 「被害に遭わないためには&トレンドマイクロの対策」の項目を更新しました
現地時間2022年9月28日、ベトナムに本拠を持つセキュリティ企業「GTSC」はMicrosoft Exchange Serverの未修正の脆弱性を悪用するゼロデイ攻撃が発生していることについてのブログを公開しました。このゼロデイ攻撃に利用されている脆弱性については、トレンドマイクロが運営するZero Day Initiativeを経由し既にマイクロソフトへも報告されています(ZDI-CAN-18333、ZDI-CAN-18802)。既に攻撃が発生していることから、速報と共にMicrosoft Exchange Serverの利用者に対する注意喚起といたします。
今回の脆弱性はExchange Server上での遠隔コード実行(RCE)に繋がるものですが、GTSCでは現時点でまだこの脆弱性の詳細を公表していません。また既に発生しているゼロデイ攻撃では、この脆弱性の悪用によりWebshellを設置し遠隔操作を可能としたのち、マルウェア実行などが行われると報告しています。攻撃の兆候としては、以前のProxyShell脆弱性への攻撃コード(エクスプロイト)と同形式のリクエストが確認されています。IoCなど確認されているゼロデイ攻撃の詳細や、現時点で可能な緩和策についてはGTSCのブログ記事を参照ください。
このようなすでに攻撃方法が確立されている新たな脆弱性については、短い期間に広範囲で悪用が見られるようになることが多いため、注意が必要です。この脆弱性を発見したGTSCでは、Zero Day Intiativeへの報告と共に、パッチをできるだけ早く準備できるようマイクロソフトとの協力も行っているとのことです。トレンドマイクロでは、本脆弱性およびその悪用方法について引き続き分析を行っており、より詳細な情報が得られ次第、本ブログなどで情報発信してまいります。
被害に遭わないためには&トレンドマイクロの対策
- マイクロソフト社から修正プログラムが公開され次第、速やかに適用することを強く推奨いたします
- 現時点で可能な緩和策についてはGTSCのブログ記事で示唆されています。
- トレンドマイクロが運営するZero Day Intiativeでは利用者の防護のため、報告された脆弱性のエクスプロイト分析に基づき脆弱性の公表前に検出フィルターの作成を行っています。
利用者は以下の製品を使用することで今回のゼロデイ攻撃の検出と防御が可能です:
Trend Micro Cloud One - Network Security & TippingPoint ThreatDV Malware Protection Filters
- 39522: HTTP: Microsoft Exchange Server Autodiscover SSRF Vulnerability (PWN2OWN ZDI-21-821)
- 41776: ZDI-CAN-18333: Zero Day Initiative Vulnerability (Microsoft Exchange)
Trend Micro Cloud One - Workload Security, Deep Security & Vulnerability Protection IPS Rules
- 1011041 - Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2021-34473 and ZDI-CAN-18802)
- 1011548 - Microsoft Exchange Server Remote Code Execution Vulnerability (ZDI-CAN-18333)
Trend Micro Deep Discovery Inspector (DDI) Rules
- 4593: EXCHANGE SSRF EXPLOIT - HTTP(REQUEST)
- 4624: EXCHANGE EXPLOIT - HTTP(RESPONSE)
Trend Micro Vision One™ の利用者は、本脆弱性の対応にXDR機能を活用いただけます:
リスク インサイト > エグゼクティブ ダッシュボード
リスク インサイトのエグゼクティブ ダッシュボード コンポーネントでは、トレンド マイクロの検出ルールに基づく結果と緩和策に関する情報を参照できます。また脆弱性検出が有効な場合には、影響を受ける可能性のあるデバイスに対処することも可能です。
/ms-exchange-zero-day/PictureA.png)
/ms-exchange-zero-day/PictureB.png)
一般検索クエリ機能
一般検索クエリ機能では、Exchange Serverが外部から攻撃を受けている可能性について予備調査を行うことができます:
/ms-exchange-zero-day/Picture1v1.png)
- Trend Micro Vision One を開き、[Search] に移動します。
- [検索方法] で[一般] を選択します。
- 以下のクエリを入力します。
- 検索を実行します。後の必要に応じてクエリを保存することもできます。
eventSubId: 101 AND (FileFullPath:"C:\Perflogs\*.exe" OR FileFullPath:"C:\Perflogs\*.dll" OR FileFullPath:"*Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\*.ashx" OR FileFullPath:"*Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\*.aspx")