fbpx

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Back to Threat Intelligence Report

脆弱性分析レポート(2023.07)

2023.07 - シェルではないプロキシ

1. 概要 :

ProxyNotShell は、MS Exchange Server におけるリモート・コード実行(RCE)の脆弱性であり、複数の CVE から構成されているため、各 CVE に対する解析結果をまとめた。

 

2. 攻撃プロセス :

ここでは、ProxyNotShell 脆弱性に対応する 3 つの CVE がどのように連携して使用されるかを分析する。

 

1) CVE-2022-41040

この脆弱性は、MS Exchange Server の認証無しでサーバのバックエンドにアクセスできる脆弱性 (CVE-2021-34473) の修正パッチをバイパスする脆弱性です。Basic や NTLM などの任意の認証が試みられた場合、低特権の認証データを用いてサーバの任意のバックエンドサービスにアクセスすることが可能です。攻撃者はこれを悪用して、サーバーのバックエンドサービスを利用したり、 他の脆弱性と組み合わせて、マルウェアやプログラムを実行したりする可能性があります。

2) CVE-2022-41082

認証されたユーザが MS Exchange サーバのバックエンドにアクセスすると、バックエンドのサービスに含まれる powershell および WSMAN プロトコルにより、攻撃者はサーバ上でシステム特権を持つ PowerShell を実行し、シリアライズされたデータをリモートから送信して悪意のあるコードを実行することができます。ただし、サーバーのサービスを利用するには認証プロセスが必要なため、CVE-2022-41040 の脆弱性と併用されます。

3) CVE-2022-41080

この脆弱性は、CVE-2022-41040 のパッチをバイパスし、OWASSRF としても知られています。
Outlook Web App (OWA) サービスが X-OWA-ExplicitLogonUser ヘッダ値をチェックし、 URL に同じ値が存在する場合にヘッダ値を置き換えることを悪用し、 URL /owa/+X-OWA-ExplicitLogonUser ヘッダ値+/[バックエンド・サービス API] の形式でリクエストを行うことで、 サーバ上の任意のバックエンド・サービスにアクセスすることが可能です。

 

image.png

[ProxyNotShellとOWASSRF脆弱性の攻撃図]

 

3. 応答:

1) CVE-2022-41040

MS Exchange Server 2013 および 2016 は Cumulative Update 24 以降、2019 は Cumulative Update 13 以降にアップデートすることで対応してください。更新が困難な場合は、既知の攻撃 URL を正規表現でブロックし、このような攻撃を防ぐことを推奨します。

弊社の AIWAF 製品は、本脆弱性を利用した攻撃構文を「MS Exchange Server RCE 5」および「MS Exchange Server RCE 6」のパターンで検出します。

2) CVE-2022-41082

MS Exchange Server 2013 および 2016 は Cumulative Update 24 以降、2019 は Cumulative Update 13 以降にアップデートすることで対応してください。アップデートが不可能な場合は、リモート PowerShell アクセスを無効にすることを推奨します。

弊社の AIWAF 製品は、本脆弱性を利用した攻撃構文を「MS Exchange Server RCE 5」および「MS Exchange Server RCE 6」のパターンで検出します。

3)CVE-2022-41080

MS Exchange Server 2013および2016の累積アップデート24以降、および2019の累積アップデート13以降に更新して対応してください。更新できない場合は、リモートPowerShellアクセスを無効にすることをお勧めします。

弊社TAチームは、この脆弱性を認識し、分析した後、現在はパターン生成およびテスト段階にあります。

 

4.結論

MS Exchange ServerのProxyNotShell脆弱性は、PlayやCubaなどのランサムウェアグループによるエクスプロイトの発見により、ますます広まっています。これらのグループは、内部情報の漏洩やランサムウェア攻撃などの脅威的な攻撃に関連しており、サービスの更新が必要です。

当社のAIWAF製品は、ProxyNotShell脆弱性に対応するためのさまざまなパターンを開発しています。また、追加のバイパス手法や新しい脆弱性に迅速に対応し続けます。

 

5.参考文献

https://nvd.nist.gov/vuln/detail/CVE-2022-41040

https://nvd.nist.gov/vuln/detail/CVE-2022-41082

https://nvd.nist.gov/vuln/detail/CVE-2022-41080

Scroll Up