Microsoft ExchangeServerのゼロデイ脆弱性

マイクロソフトのExchangeServerのオンプレミスバージョンの4つのゼロデイ脆弱性を悪用する深刻な攻撃が、国が後援する脅威アクターであると考えられているものによって実行されました。マイクロソフトはすでに、HAFNIUMという名称でこのハッカー集団の活動の監視を開始していました。彼らの調査結果によると、グループは中国にあり、中国政府の支援を受けています。

このエクスプロイトを通じて、ハッカーはExchange Serverへのアクセスを不正に取得し、システムをリモート制御できるWebシェルを作成する可能性があります。攻撃の主な目的は、被害者の電子メールアカウントとExchangeのオフラインアドレス帳に含まれている機密データにアクセスすることでした。ただし、Webシェルでは、追加のマルウェアペイロードをドロップすることもできました。 HAFNIUM攻撃では、その機能を使用して、被害者のシステムへの長期アクセスを確保しました。

攻撃の情報が公開された後、マイクロソフトは、ゼロデイ脆弱性を運用に組み込んだ複数の追加の脅威アクターを検出しました。わずか9日で、新しいランサムウェアの脅威が4つのセキュリティ上の弱点を介して配信されることが観察されました。この脅威はDearCryと名付けられました。これは、Microsoftのさまざまな脆弱性を悪用する攻撃で、世界中のユーザーに感染 した悪名高いWannaCryマルウェアへの明らかなオマージュです。

4つのゼロデイエクスプロイトが攻撃を可能にしました

HAFNIUMおよびその他の脅威アクターによって悪用されたゼロデイは、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、およびCVE-2021-27065として追跡されます。

最初のCVE-2021-26855は、サーバー側の要求偽造（SSRF）の脆弱性であり、攻撃者が任意のHTTP要求を送信し、Exchangeサーバーとして認証できるようにします。

CVE-2021-26857は、ユニファイドメッセージングサービスにおける安全でないデシリアライズの脆弱性です。つまり、このエクスプロイトにより、攻撃者はExchangeサーブのSYSTEMとしてコードを実行することができました。

最後の2つのエクスプロイト（CVE-2021-26858とCVE-2021-27065）はどちらも、認証後の任意のファイル書き込みの脆弱性で構成されています。

マイクロソフトは、攻撃を軽減するためのセキュリティパッチとツールをリリースしました

違反が発生した後、その重大度のために、MicrosoftはExchangeServerの古いバージョンの脆弱性にパッチを適用するためのいくつかのセキュリティ更新プログラムをリリースしました。技術の巨人はまた、観察されたIoC（侵入の痕跡）、検出ガイダンス、および高度なハンティングクエリを含むセキュリティブログをリリースしました。

専用のサイバーセキュリティ部門やIT部門を持たない小規模な顧客を支援するために、マイクロソフトはワンクリックの緩和ツールもリリースしました。 Microsoft Exchangeオンプレミス緩和ツールは、お客様が適切なセキュリティ更新プログラムをインストールする準備をしている間、Exchange Server 2013、2016、および2019の展開で暫定的なセキュリティ対策として使用することを目的としています。