2021 年 3 月 8 日 Ryan Estes 著

サイバーセキュリティコミュニティが SolarWinds 攻撃の影響で未だ混乱する中、Microsoft Threat Intelligence Center (MSTIC) は、Exchange Server を標的として拡散している別の攻撃に関する情報を公開しました。HAFNIUM（ハフニウム）と呼ばれる中国を拠点とする国家支援型の攻撃者が、オンプレミスの Exchange Server ソフトウェアに存在するゼロデイの脆弱性を攻撃していることが判明しています。MSTIC が確認したオンプレミスの Exchange Server を対象とする脆弱性は 4 つ存在します。クラウド向けの Exchange Server はこの脆弱性の影響を受けません。

最初の攻撃として、サーバサイドリクエストフォージェリ (SSRF) の脆弱性が悪用され、ユーザのメールボックスの全ての情報が盗み出されます。攻撃者が必要なものは、標的となる Exchange ソフトウェアを実行しているサーバと、アカウントの情報のみです (CVE-2021-26855)。次に標的の Exchange Server で、リモートコード実行を可能にする第 2 の脆弱性が悪用されます (CVE-2021-27065)。サーバ上の任意のパスにファイルを書き込むことができる別の脆弱性も利用されます (CVE-2021-26858）。4 つ目は、ユニファイド メッセージングサービスにおけるデシリアライゼーションの脆弱性であり、この脆弱性が攻撃されると攻撃者によって SYSTEM 権限でコード実行が可能になります (CVE-2021-26857)。

Microsoft はこれら 4 つの主要なセキュリティ侵害の痕跡情報 (IoC) に加えて、Exchange Server 内の上記の IoC を特定するための PowerShell スクリプトなどのツールを GitHub 上で公開しています。この攻撃を発見した Volexity は、検出を支援するために、さまざまな IoC、概念実証、およびデモンストレーションについての詳細な記事を公開しています。同様の記事は Microsoft も公開しています。

Microsoft はこの 4 つの脆弱性とその他いくつかの脆弱性に対するパッチをリリースしており、オンプレミスの Exchange Server を使用しているすべてのユーザに、直ちにパッチを適用するよう促しています。セキュリティアップデートに関する情報はこちらでご覧いただけます。HAFNIUM は、今回の脆弱性を悪用していることが確認された最初の攻撃者ですが、Microsoft はこの攻撃者以外によるパッチ未適用システムへの攻撃が増加していることも確認しています。

脅威への対策方法

1. Microsoft が公開しているセキュリティアップデートを利用し、脆弱な Exchange Server システムを特定してパッチを適用する。
2. パッチを直ちに適用できない場合は、Microsoft が提案している代替の緩和措置をとる。
3. Microsoft の PowerShell スクリプトを利用し、利用している Exchange Server 上で侵害の痕跡 (IoC) を探す。
4. 追加の保護のため、ウォッチガードのセキュリティサービスを有効にする。

ウォッチガードのプロテクション

Panda AD360

Panda AD360 は、この攻撃に関与する PowerShell のペイロードや多くの Web シェルを検知します。

IPS

Firebox の Intrusion Prevention Service (IPS) には、この攻撃のエクスプロイトチェーンの第 1 段階を検出してブロックするシグネチャを備えています。

Gateway AntiVirus

Gateway AntiVirus は、この攻撃に使用された Web シェルを検出してブロックする複数のシグネチャを備えています。

APT Blocker

APT Blocker はこの攻撃で使用される悪意のある PowerShell バックドアの検出に成功しています。

Firebox Access Portal と VPN

この脅威における最初の攻撃では、インターネットに接続する Exchange Server を必要とします。Firebox の Access Portal をサポートする機器で Exchange Server を保護することで、この段階の攻撃のリスクを減らすことができます。

この問題に対するウォッチガードの対応の詳細については、このナレッジベース記事 (英語) をご覧ください。