2023.10 - ProxyShell

MS Exchange Server ProxyShell

1.概要 :
ProxyShell 脆弱性は、MS Exchange Server で発生する可能性のある SSRF(サーバサイドリクエストフォージェリ)及び RCE(リモートコード実行)の脆弱性であり、複数の CVE から構成される。

2.攻撃プロセス :
ProxyShell 脆弱性に関連する 3 つの CVE がどのように相互に関連し、利用されているかを分析する。

1)CVE-2021-34473
この脆弱性は、認証無しで MS Exchange サーバのバックエンドへのアクセスを可能にします。CVE-2021-26855としても知られているProxyLogonの脆弱性を利用することで、攻撃者は認証なしで制限されたバックエンドサービスにアクセスすることができます。攻撃者はこれを悪用して、バックエンドのサービスを利用したり、他の脆弱性と連携して悪意のあるコードやプログラムを実行したりします。

2)CVE-2021-34523
この脆弱性は、MS Exchange Server 内の特定のメールアカウントに対して PowerShell によるアクセスを許可します。CVE-2021-34473 を悪用することで、NT AUTHORITY SYSTEM 権限でのアクセスが可能となります。存在しないメールアドレスを使用して任意のトークンを作成し、それを X-Rps-CAT パラメータに挿入することで、Exchange Admin 権限でメールアカウントが使用され、PowerShell にアクセスできるようになります。攻撃者はこれを利用して PowerShell にアクセスし、任意のコマンドを実行します。

3)CVE-2021-31207
この脆弱性により、SMTP 経由でのウェブシェルの送信、または MS Exchange Server のバックエンドに悪意のあるコマンドを含むメールドラフト文書の変更が可能となります。ウェブシェルがアップロードされた後、コマンドは WSMAN プロトコルを介して PowerShell に送信され、ウェブシェルが実行されます。これにより、アップロードされたWebシェルを通じて任意のコマンドを実行できるようになります。

3.レスポンス ：
SSRF 脆弱性 CVE-2021-34473 を悪用して他の脆弱性を実行する ProxyShell の場合、マイクロソフトでは、この脆弱性を防ぐために MS Exchange Server のバージョンを 2013 Cumulative Update 23 以降、2016 Cumulative Update 19 以降、2019 Cumulative Update 8 以降にパッチを適用することを推奨しています。

当社のAIWAF製品は、「MS Exchange Server RCE 2」パターンを使用してこの脆弱性を悪用する攻撃を検出します。

4.結論 :
MS Exchange Server の ProxyShell 脆弱性は、様々な脆弱性が組み合わさったものであり、特に BlackCat のようなランサムウェアグループがこの脆弱性を悪用することで有名になった。この脆弱性は、内部情報の漏洩やランサムウェア攻撃といった脅威的な攻撃に関連する脆弱性としてよく知られるようになり、影響を受けるサービスのアップデートが必要となっています。

当社のAIWAF製品は、ProxyShellの脆弱性に対応するパターンを開発しており、今後も新たな回避手法や新たな脆弱性に迅速に対応していきます。