マイクロソフトエクスチェンジ ProxyShell 攻撃の検出
目次:
数千のMicrosoft Exchangeサーバーが、2021年4月から5月に発行されたパッチにもかかわらず、ProxyShellリモートコード実行脆弱性に依然として脆弱なままです。さらに悪いことに、2021年8月4日から5日に開催されたBlack HatカンファレンスでProxyShell攻撃の技術的概要が明らかにされた後、脆弱なExchangeサーバーをスキャンする活動が大幅に増加しているとセキュリティ研究者たちは観察しています。
ProxyShellバグとは?
ProxyShellは3つの別々の欠陥に対する単一の名前であり、これらを組み合わせると、脆弱なMicrosoft Exchangeサーバーで未認証のハッカーがリモートコード実行(RCE)を実行することが可能になります。最初のバグ(CVE-2021-34473)は、ACLバイパスを引き起こす事前認証パッチ混乱の問題です。2番目の欠陥(CVE-2021-34523)は、Exchange PowerShellバックエンドでの特権昇格です。最後に、3番目の問題(CVE-2021-31207)は、RCEに繋がる認証後の任意ファイル書き込みの誤設定です。これらの誤設定の組み合わせは、IIS上のポート443で実行されているMicrosoft Exchangeのクライアントアクセスサービス(CAS)を通じて利用される可能性があります。
これらのバグは、セキュリティ研究者 Orange Tsai により2021年4月に特定され、分析されました。さらに、Black Hatカンファレンスで、Tsaiは攻撃キルチェーンの概要と欠陥の技術的詳細を提供しました。特に、専門家はProxyShell攻撃がMicrosoft ExchangeのAutodiscoverサービスを危険にさらし、メールクライアントソフトウェアの自動構成を簡素化することを説明しました。
TsaiのBlack Hat プレゼンテーション は、PeterJsonやJangのセキュリティ研究者に影響を与え、 ProxyShell攻撃の詳細な概要 とアタックキルチェーンのステップバイステップの説明を発表しました。
現在、詳細が明らかになり、キルチェーンが説明されている中で、攻撃者たちは脆弱なMicrosoft Exchangeサーバーを利用するための組み合わせを利用するため、活発にスキャンを行っています。これまでのところ、ハッカーたちはあまり成功していませんが、すぐに成功例の雪崩を目撃する可能性があります。さらに、2021年4月以降パッチが利用可能であるにもかかわらず、 30,000台以上のExchangeサーバー が依然として脆弱であり、攻撃者に悪意のある行動を続行する動機を与えています。
ProxyShell攻撃の検出と緩和
ProxyShellの欠陥は7月に公開されましたが、Microsoftは2021年4月から5月にこれらの悪名高い脆弱性を修正しました。特に、CVE-2021-34473とCVE-2021-34523は4月のMicrosoft Exchangeの KB5001779 累積的更新に静かに対応されました。そして、CVE-2021-31207は KB5003435のリリースでパッチが適用されました。管理者は、ProxyShell攻撃の破壊的な結果を防ぐために、できるだけ早くサーバーをパッチ適用するよう求められています。
ProxyShell攻撃に耐え、ネットワーク内での可能性のある悪意ある活動を検出するために、セキュリティ専門家フロリアン・ロスとリッチ・ウォーレンが専用のSigmaルールを発表しました。これらのSOCコンテンツアイテムをThreat Detection Marketplaceから無料でダウンロードしてください:
Exchange ProxyShellパターン
このルールはフロリアン・ロスとリッチ・ウォーレンによって書かれ、Exchangeサーバーに対するProxyShellの攻撃で見られるURPパターンを検出します。
SIEM & セキュリティ分析: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
このルールはMITRE ATT&CK®フレームワークにマップされ、初期アクセス戦術と公開されたアプリケーションのエクスプロイト(T1190)技術に対処しています。
疑わしいPowerShellメールボックスエクスポートの共有
このルールはフロリアン・ロスによって書かれ、ProxyShellの攻撃に使用されたように、メールボックスをローカルシェアにエクスポートするPowerShellのNew-MailboxExportRequestを検出します。
SIEM & セキュリティ分析: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
このルールはMITRE ATT&CK®フレームワークにマップされ、収集戦術と電子メール収集技術(T1114)に対処しています。
Threat Detection Marketplaceに無料で登録し、最新のContent-as-a-Service(CaaS)プラットフォームにアクセスして、脅威検出のための完全なCI/CDワークフローを実行できます。私たちのライブラリは、CVEとMITRE ATT&CK®フレームワークに直接マップされた100Kを超える高品質なクロスベンダー&クロスツールのSOCコンテンツアイテムを集約しています。あなた自身のSigmaルールを作成することに興味がありますか?Threat Bountyプログラムに参加して、あなたの貢献に対して報酬を得ましょう!
