ProxyShell の脆弱性:Exchange Server が再び標的に
2021 年 8 月 12 日 Marc Laliberte 著
2021 年度の BlackHat と DEF CON のセキュリティカンファレンスがすべて終了しました。その中で、最も大きな波紋を呼んだ発表のひとつが、Devcore Security Consulting の Orange Tsai 氏による最新の研究結果でした。Tsai 氏は 2021 年 1 月に、のちに ProxyLogon として知られる CVE-2021-26855 を特定し、Microsoft に開示した研究者です。これは、ProxyLogon が実環境で悪用されていることが発見される 3 月より遥か前の話です。カンファレンスでは、「ProxyLogon は氷山の一角に過ぎない — Microsoft Exchange Server に潜む新たな脆弱性」(”ProxyLogon is Just the Tip of the Iceburg: A New Attack Surface on Microsoft Exchange Server!”) と題した講演を行いました。 Tsai 氏は、Microsoft Exchange Server のアーキテクチャと、その複雑さが生み出す潜在的なセキュリティ上の弱点について深く掘り下げて説明しました。ProxyShell と呼ばれる Microsoft Exchange Server の 3 つの追加の脆弱性について取り上げられています。これらは、すでにマイクロソフトが 4、5 月にパッチを適用しています。
- CVE-2021-34473 – Microsoft Exchange Server のリモートコード実行の脆弱性
- CVE-2021-34523 – Microsoft Exchange Server 特権昇格の脆弱性
- CVE-2021-31207 – Microsoft Exchange Server セキュリティ機能回避の脆弱性
この脆弱性は ProxyLogon に類似していますが、攻撃に必要なのは脆弱な Exchange Server への HTTPS アクセスだけであり、これはほとんどの管理者が Outlook Web Access を有効にするために公開しているものです。Tsai 氏による BlackHat での発表以来、脆弱なサーバへのリモートアクセスによる ProxyShell の悪用を試みる攻撃が確認されています。すでに Exchange Server の最新のパッチを入手している場合は安全です。そうでない場合は、3 月下旬に ProxyLogon で起きたような惨事に直面する可能性があります。
ウォッチガードのお客様には、この投稿から一両日中に IPS シグネチャを提供する予定です。