ProxyNotShell: CVE-2022-41040およびCVE-2022-41082の検出、野生で活発に利用されている新たなMicrosoft Exchangeゼロデイ脆弱性

[post-views]
9月 30, 2022 · 6 分で読めます
ProxyNotShell: CVE-2022-41040およびCVE-2022-41082の検出、野生で活発に利用されている新たなMicrosoft Exchangeゼロデイ脆弱性

警戒を怠らないでください! サイバーセキュリティの研究者たちは、最近、新しいMicrosoft Exchangeのゼロデイ脆弱性を明らかにしました。通称 ProxyNotShell CVE-2022-41040およびCVE-2022-41082として追跡されており、現在実際に悪用されています。Microsoft Exchange Serverに見つかった新しいバグは、攻撃チェーンで組み合わせて中国のChopperウェブシェルをターゲットサーバーに展開できます。研究者によると、これらのゼロデイ攻撃は中国のハッカーに起因するとされています。

ProxyNotShell脆弱性を悪用する試みを検出する: Microsoft Exchange Serverの重大なゼロデイ

現実世界の攻撃でゼロデイ脆弱性を悪用する敵のキャンペーンは、サイバー防衛者からの非常に迅速な対応を必要とします。 このような大規模な攻撃に組織が前もって防御できるようにするため、SOC PrimeのDetection as Codeプラットフォームは、最近、ProxyNotShell脆弱性として知られるMicrosoft Exchangeのゼロデイ脆弱性の検出用にキュレーションされたSigmaルールのセットをリリースしました。すべての検出アルゴリズムは“ProxyNotShell”タグで名前として受け取ったゼロデイに基づいて整理された検索が可能です。 ProxyShellの欠陥

Sigmaルール 提供された検出スタック内のルールは、業界をリードするSIEM、EDR、およびXDRソリューション全体で組織固有の環境ニーズにマッチして使用できます。

クリックして 検出を探索 ボタンを押すと、MITRE ATT&CKリファレンス、CTIリンク、その他関連するサイバー脅威コンテキストで充実した関連Sigmaルールのリストにすぐにアクセスできます。

検出を探索

新しいMicrosoft Exchangeゼロデイ、通称ProxyNotShell: 攻撃分析と軽減策

ゼロデイ脆弱性 は、人気のあるMicrosoftアプリケーションを活用する世界的な組織に深刻な脅威を与えることで、サイバー脅威の舞台で騒ぎを引き起こす傾向があります。ベトナムのサイバーセキュリティ企業 GTSC は、最近、Microsoft Exchange Server 2013、2016、および2019に影響を及ぼす新たなゼロデイ脆弱性を発見しました。GTSCの研究者によると、明らかにされたゼロデイはリンクされて、中国Chopperウェブシェルをダウンロードし、攻撃者が機密データを盗み、侵害された環境内で横移動を行うことを可能にします。悪意のある活動は、ウェブシェルを含むコードページと、中国のオープンソースウェブサイト管理ユーティリティであるAntSwordの使用に基づいて、中国のハッカーグループにリンクされています。GTSCのサイバーセキュリティ研究者は、Microsoft Exchangeアプリケーションを標的とした最新のエクスプロイトチェーンで要求が行われ、 ProxyShellの脆弱性.

の武器化に利用されるサイバー攻撃で用いられたものと類似していることを指摘しています。即座に行動を起こすため、GTSCはこれらのゼロデイ欠陥の1つを活用してリモートコード実行(RCE)を行う攻撃キャンペーンが進行中であるとする警告をリリースしました。サイバーセキュリティ研究者はこの重大な情報をMicrosoftに対して Zero Day Initiativeを通じて非公開で提供しました。この欠陥はZDI-CAN-18333とZDI-CAN-18802として識別されています。

2022年9月29日、Microsoft Security Response Centerは 報告されたMicrosoft Exchangeのゼロデイ脆弱性に対する 顧客ガイダンスを発行し、脅威を緩和するための緩和策のリストを提供しました。最初の欠陥は、CVE-2022-41040として追跡されるサーバーサイドリクエストフォージェリ(SSRF)脆弱性であり、2つ目はCVE-2022-41082として知られ、PowerShellを使用してRCEを実行することを可能にします。Microsoft Exchange Serverに認証されたアクセスを得てCVE-2022-41040を活用した後、脅威アクターはこの2番目の脆弱性を引き起こし、エクスプロイトチェーンに至ります。

顧客ガイダンスによれば、Microsoft Exchangeを活用するオンラインの顧客は即座に行動を取る必要はありません。明らかにされたゼロデイバグはオンプレミスアプリケーションのみに影響を与えるためです。緩和策として、オンプレミスアプリケーションのユーザーには、提供されている一連の URLリライト命令 に従い、侵害されたリモートPowerShellポート、例えばHTTP: 5985およびHTTPS: 5986をブロックすることを推奨しています。

MITRE ATT&CK® コンテキスト

進行中の攻撃で使用されるMicrosoft Exchangeのゼロデイについての文脈を掘り下げるため、前述のSigmaルールは MITRE ATT&CK®フレームワーク にマッピングされており、対応する戦術と技術に対応しています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
ブログ, 最新の脅威 — 8 分で読めます
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
Veronika Telychko