Microsoft Exchangeへのゼロディ攻撃

マイクロソフトが緊急パッチを出した４つのゼロディ（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）の被害者の1人は欧州銀行監督庁（EBA）である事が発表されています。この脆弱性を介したAPT攻撃により全世界数十万の組織が”既に”侵害を受けている可能性があると報じられており、日本でも早期の確認が必要です。

securityaffairs.co

公式発表(SITA／JAL）

・Cyber-attack on the European Banking Authority (3/7)

・Cyber-attack on the European Banking Authority - UPDATE 2 (3/8)

2021年3月7日

欧州銀行監督局（EBA）は、Microsoft Exchange Serverに対するサイバー攻撃の対象となっており、世界中の多くの組織に影響を及ぼしています。エージェンシーは、ICTプロバイダー、法医学専門家のチーム、およびその他の関連団体と緊密に協力して、迅速に完全な調査を開始しました。

この脆弱性はEBAの電子メールサーバーに関連しているため、そのサーバーに保持されている電子メールを介した個人データへのアクセスが攻撃者によって取得された可能性があります。EBAは、アクセスされたデータがある場合はそれを特定するために取り組んでいます。必要に応じて、EBAは、データ主体が起こりうる悪影響を軽減するために講じる可能性のある措置に関する情報を提供します。

予防措置として、EBAは電子メールシステムをオフラインにすることを決定しました。詳細については、後日お知らせします。

2021年3月8日

EBAの調査はまだ進行中であり、電子メールサーバーの全機能を復元するために、追加のセキュリティ対策と綿密な監視を展開しています。

この段階では、EBAの電子メールインフラストラクチャは保護されており、分析によると、データ抽出は実行されておらず、侵害が電子メールサーバーを超えていると考える兆候はありません。

EBAは、個人データおよびその他のデータを保護するためにすべての予防措置を講じており、追加の措置を講じ、必要に応じてさらなる更新を提供します。

（公式発表より引用）※機械翻訳

キタきつねの所感

セキュリティ関連ブログを見ていると、昨年末から大きな問題となっているSolarWindsを”超える”被害が出ている可能性があると言われているのが、このMicrosoft ExchangeサーバへのAPT攻撃です。マイクロソフトは中国が支援していると思われる「Hafnium」と名付けられた新たなハッカーがこの攻撃に関与していると分析していますが、被害を受けた可能性がある米国組織は3万以上、全世界では数十万の組織が影響を受けた（受けている）可能性があると言われています。

これに関連し、米国のCISAが緊急アラート(3/3)を出していますが、パッチ当ての前に重要なのが「既に侵害を受けているかどうかを確認する事」だと思われます。

※記事の下部にCISA緊急アラートの内容を貼っておきます。（詳細は原文＝英語内容をご覧頂ければと思いますが、「必要なアクション」に詳細の確認手順が書かれていますので、この部分をよくご覧になる事をオススメします）

マイクロソフトは緊急パッチを出していますが、パッチを当てても「既にバックドアが仕掛けられている」場合には引き続きデータ侵害が継続してしまう可能性があるからです。

Krebs on Securityの関連記事にてKrebs氏は、GitHubに「脆弱なサーバーを検出するためのいくつかのツール」があると提示しており、下記が参考になるかも知れません。

github.com

※Security Affair記事に、MicrosoftがGitHubにオープンソース開示した４つのゼロディ脆弱性テストプログラムも出ていましたので、こちらのリンクも貼っておきます。

github.com

HafniumによるAPT攻撃によって被害を受けた組織は、オンプレのExchangeサーバの電子メールアカウントに不正アクセスを受け、バックドアがインストールされて、その環境が維持されている事が予想されます。

今回、欧州銀行監督庁（EBA）で大きな被害は現時点では確認されていないものの、侵害が確認された事が（恐らく初めて）公表されました。今後、侵害を受けた可能性がある組織からの発表が徐々に出てくると思いますが、データ侵害の有無だけでなく、バックドア調査が必要となる事で、CISAの緊急アラートにある様に、予防措置も含めて（調査・パッチ更新・復旧の為に）Exchangeサーバを「切断」すべき組織も多いかも知れません。

既に緊急パッチを当てた企業も多いかと思いますが、「バックドア」の確認がまだであれば、上記の様なツールを使い、急ぎ実施すべきかと思います。

バックドアの確認済で、パッチを当てられていないのであれば、緩和策を検討する事が必要かと思います。

マイクロソフトセキュリティレスポンスセンターは早期のパッチ当てが必要としていますが、緩和策としては以下を参考にされると良いかと思います。

msrc-blog.microsoft.com

これらの緩和策は、Exchangeサーバーが既に侵害されている場合の修復ではなく、攻撃に対する完全な保護でもありません。ここでのハンティングの推奨事項を使用してExchangeの展開を調査し、それらが危険にさらされていないことを確認することを強くお勧めします。

（中略）

Exchange Server 2013、2016、および2019にパッチを適用できない場合の暫定的な緩和策：

IIS再書き込みルールを実装し、ユニファイドメッセージング（UM）、Exchangeコントロールパネル（ECP）VDir、およびオフラインアドレスブック（OAB）VDirサービスを無効にします

これらの緩和策は、以下で詳細に説明する機能にいくつかの既知の影響を及ぼします。
これらの緩和策は、これまでに実際に見られた攻撃に対して効果的ですが、これらの脆弱性のすべての可能な悪用に対する完全な緩和策であるとは限りません。
これは、すでにサーバーを危険にさらしている敵を追い出すことはありません。
これは、Exchangeサーバーに完全にパッチを適用できるようになるまでの一時的な緩和策としてのみ使用する必要があります。

（マイクロソフトセキュリティレスポンスセンター記事より引用）※機械翻訳

※参考：マイクロソフトの緊急パッチ

msrc-blog.microsoft.com

※参考：CISAの緊急アラート（Emergency Directive 21-02）

cyber.dhs.gov

緊急指令21-02
2021年3月3日

MicrosoftExchangeのオンプレミス製品の脆弱性を軽減する
このページには、Cybersecurity and Infrastructure SecurityAgencyの緊急指令21-02「MicrosoftExchangeオンプレミス製品の脆弱性の軽減」のWeb対応バージョンが含まれています。

米国法典タイトル44のセクション3553（h）は、既知または合理的に疑われる情報セキュリティの脅威、脆弱性、または機関の情報セキュリティに対する重大な脅威を表す事件に対応して、国土安全保障長官に次のことを許可します。情報システムの運用に関して合法的な措置を講じるために、機関の長に緊急指令を発行します。これには、収集、処理、保存、送信、配布する、機関に代わって別のエンティティによって使用または運用されるシステムが含まれます。、または情報セキュリティの脅威から情報システムを保護または軽減する目的で、代理店情報を維持します。」44USC§3553（h）（1）–（2）

2002年の国土安全保障法のセクション2205（3）は、改正されたとおり、この権限をサイバーセキュリティおよびインフラストラクチャセキュリティ庁の局長に委任しています。6USC§655（3）。

連邦政府機関は、これらの指令に準拠する必要があります。44USC§3554（a）（1）（B）（v）

これらの指令は、法的に定義された「国家安全保障システム」にも、国防総省または諜報機関によって運営されているシステムにも適用されません。44USC§3553（d）、（e）（2）、（e）（3）、（h）（1）（B）。

バックグラウンド
CISAパートナーは、MicrosoftExchangeオンプレミス製品の脆弱性が積極的に悪用されていることを確認しています。現在、脆弱性も特定されたエクスプロイトアクティビティも、Microsoft365またはAzureクラウドの展開に影響を与えることはわかっていません。これらの脆弱性の悪用に成功すると、攻撃者はオンプレミスのExchange Serverにアクセスできるようになり、エンタープライズネットワークの永続的なシステムアクセスと制御を取得できるようになります。

CISAは、Microsoft Exchangeオンプレミス製品のこの悪用は、連邦民間行政機関に容認できないリスクをもたらし、緊急措置が必要であると判断しました。この決定は、これらの脆弱性の現在の悪用、悪用される可能性、連邦企業における影響を受けるソフトウェアの普及、代理店情報システムの侵害の可能性の高さ、および妥協の成功。

現在、この既知の悪用活動に関連する脆弱性には、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065が含まれます。マイクロソフトとセキュリティ研究者によると、次の脆弱性は関連していますが、悪用されることは知られていません：CVE-2021-26412、CVE-2021-26854、CVE-2021-27078。

必要なアクション
環境内のオンプレミスのMicrosoftExchange Serverのすべてのインスタンスを特定した後、専門知識を持つ機関は、収集ツール（例については、CISAのアクティビティアラートを参照）を使用してアーティファクトを優先的にトリアージし、システムメモリ、システムWebログ、Windowsイベントログなどを収集する必要があります。レジストリハイブ。次に、エージェンシーは、アクティビティアラートに記載されている資格情報のダンプやその他のアクティビティなど、侵害または異常な動作の兆候がないかアーティファクトを検査する必要があります。異常な動作または侵害の兆候が検出された場合は、アクション2に進みます。
侵害の兆候が見つからない場合、政府機関は直ちにMicrosoft ExchangeサーバーにMicrosoftパッチを適用し、アクション5に進む必要があります。

機関がそのシステムを法的にトリアージする専門知識を持っていない場合は、アクション3に進む必要があります。

次の手順をすぐに実行する専門知識を持つ機関は、アクション3に進む前に、すぐに実行する必要があります。機関は、この手順で収集されたアーティファクトを調べて、資格情報のダンプ、横方向の移動、永続化メカニズム、その他の後続などの侵害または異常な動作の兆候がないかどうかを確認する必要があります。搾取活動。この専門知識を持たない機関は、アクション3に進むものとします。

a。システムメモリをフォレンジックにイメージ化するか、仮想ホストの場合は、分析のために仮想メモリ（VMEM）のコピーを外部ストレージに作成します。

b。ライブフォレンジックディスクイメージを取得できる場合は、代理店の手順に従ってライブシステムディスクイメージを取得します。

c。ライブフォレンジックディスクイメージを取得できない場合は、Outlook Web Access / App（総称してOWA）またはExchangeコントロールパネル（ECP）でOutlookを実行しているシステム（仮想マシン）のすべてのインスタンスを一時停止します。

d。システムメモリとディスクイメージのフォレンジック分析を実行して、CISAアクティビティアラートで提供されるIOCを探します

e。保存されたネットワークトラフィックとメタデータを分析して、CISAアクティビティアラートで提供される侵害の兆候、または疑わしい接続を確認します。

f。ネットワークとシステムをハントして、CISAアクティビティアラートで提供される侵害の追加の兆候を探します。

アクション1で侵害の兆候を特定した、またはアクション1または2を実施する専門知識を持たなかった機関は、これらの手順に従い、アクション4に進む必要があります。

a。MicrosoftExchangeオンプレミスサーバーをすぐに切断します。

b。CISAがこれらのエンティティにMicrosoftExchange Serverオペレーティングシステムを再構築してソフトウェアパッケージを再インストールするように指示するまで、政府機関はMicrosoft Exchange Serverをエンタープライズドメインに（再）参加することを禁じられています。

c。脅威アクターが制御するすべてのアカウントと特定された永続性メカニズムを特定して削除します。

d。影響を受けるエンティティは、CISAからのさらなる通信を期待し、利用可能な製品の最新バージョンを利用して信頼できるソースから再構築する前にガイダンスを待つ必要があります。

次のいずれかの存在をCISAにインシデントとして直ちに報告します。

a。CISAアクティビティアラートで概説されている侵入の痕跡の特定。

b。侵害されたMicrosoftExchangeオンプレミスサーバー上のWebシェルコードの存在。

c。アカウントへの不正アクセスまたはアカウントの使用。

d。侵害されたシステムにアクセスできる悪意のある攻撃者による横方向の動きの証拠。

e。不正アクセスまたは侵害のその他の指標。

f。この問題に関連するその他の指標は、アクティビティアラートでCISAによって共有されます。

すべての機関が使用してCISAの報告書提出提供されるテンプレートをすることによって2021年3月5日（金曜日）の正午東部標準時間。部門レベルの最高情報責任者（CIO）または同等の者は、代理店のステータスを証明するこのレポートをCISAに提出する必要があります。
これらの必要なアクションは、代理店情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、代理店に代わって別のエンティティによって使用または運用される情報システムを含む、あらゆる情報システムでMicrosoft ExchangeServerを運用する代理店に適用されます。

（CISA Emergency Directive 21-02)※機械翻訳