Exchangeサーバの超危険な脆弱性、ProxyLogon を題材に脆弱性管理を見直そう
脆弱性管理はしていますか?
脆弱性管理とは、組織の情報システムおよびアプリケーションにおける脆弱性を特定、評価、解消する継続的な IT プロセスのことです。
【参考】【Akamai】脆弱性管理
https://www.akamai.com/jp/ja/resources/vulnerability-management.jsp
本稿では実際の脆弱性、ProxyLogonを題材にして脆弱性管理の基本的な部分を解説していきます。
Exchangeサーバの超危険な脆弱性、ProxyLogonとは
Image:proxylogon.com
ProxyLogonとは2021年3月に公表された、Microsoft Exchangeサーバの非常に危険な脆弱性です。
この脆弱性を攻撃することで攻撃者は認証を回避し、管理者に成りすますことが可能となります。次に任意のファイルを書き込める他の脆弱性と組み合わせ、サーバー上で任意のコードを実行させることが出来るというものです。
つまり、インターネットからExchangeサーバへ認証なしにログインし、管理者権限を奪取し、任意のファイルを送り込み実行ができます。しかもそれがExchangeサーバであるためメールは読むことができるし、パスワードの搾取も可能かもしれません。またそこを踏み台として強力な権限とともに内部ネットワークにも入り込んでいけるという、かなり強烈な脆弱性ということです。
あまりに危険なため、マイクロソフトからは緊急で定例外のパッチが公開され、また米CISA(サイバーセキュリティー・インフラセキュリティー庁, リンク)は米公的機関に緊急通達(Emergency Directive 21-02)を出したほどです。
2ヶ月前の脆弱性ですので大丈夫と思いますが、万が一、自社のオンプレのExchangeサーバにまだパッチを当てていない場合には急ぎ対応の検討を行うことをお勧めします。
【参考】
[piyolog] 攻撃発生中のExchange Serverの脆弱性 ProxyLogonなどについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/03/08/053000
[Emergency Directive 21-02] Mitigate Microsoft Exchange On-Premises Product Vulnerabilities
https://cyber.dhs.gov/ed/21-02/
[JPCERT/CC] Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html
[Microsoft Security Response Center] Exchange Server のセキュリティ更新プログラムの公開 (定例外)
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
ProxyLogonを題材に脆弱性管理について知ろう
ではこの、超危険な脆弱性 ProxyLogon を題材にして、脆弱性管理について学んでいきましょう。
脆弱性情報の収集
まずやるべきは脆弱性情報の収集です。知らないことには対応ができないので、まず知ることからはじまります。
日々脆弱性情報の収集はやっていますか?
ここでは私が行なっている最低限の脆弱性情報の収集方法を、主にwindowsにしぼって説明します。
まずは脆弱性情報が掲載される巡回先を決めておきましょう。
ゆりか先生:マイクロソフトの中の人です。脆弱性情報を発信しています。
https://twitter.com/eurekaberry
米CISAのサイトです。重要な脆弱性情報はここに掲載されます。英語ですが毎日チェックしましょう。
https://us-cert.cisa.gov/ncas/current-activity/
JPCERT/CCのサイトです。ここにも重要な脆弱性情報が掲載されます。毎日チェックしましょう。
https://www.jpcert.or.jp/at/2021.html
次に緊急事態であることをどのように理解するか、です。
ProxyLogonの場合は以下の案内がありました。
JPCERT/CC の場合
https://www.jpcert.or.jp/at/2021/at210012.html
の案内の中に以下の一文があります。
マイクロソフトは悪用の事実を確認していると公表しています。至急、対策を検討してください。
「悪用の事実」、「至急」という言葉でリスクが高いことがわかります。
CISAの場合は以下のようになります。英文記事を読むときの参考にしてください。
CISA strongly urges organizations to apply …
CISA strongly encourages …
in the wild
「strongly」という言葉が使われます。また「in the wild」は「野に放たれている」くらいの意味で、脆弱性を突く攻撃が実際に行われていることを確認している。ということを表しています。脆弱性の観点で英語記事を読む際の重要キーワードとなります。
ここでは最低限の脆弱性収集方法と、キーワードによる脆弱性情報の機械的な評価方法について述べました。
脆弱性のある機器の特定
情報収集により、危険な脆弱性情報を入手したところからはじめましょう。
次に何をやるべきでしょうか?
それは脆弱性があるハードウェア(HW)やソフトウェア(SW)が自社にあるかどうかの確認です。
(できれば委託先にもあるかどうかも確認できるようにしておいた方が良いです。)
そのためにはHW/SWの資産管理を行なっておくべきなのです。台帳を見て、脆弱性がある機器がどこに何台あり、どのような用途に使われているかを確認しましょう。
しっかりした会社であればHW/SWの資産管理を行なっていると思いますが、何のために台帳管理しているのか、目的を理解していない場合を散見します。
台帳管理する一つの理由は今回のように脆弱性を持つ機器を迅速に特定するためです。
その目的が達成できる台帳であれば資産管理はうまくいっています。そうでないなら資産管理について改善すべき点があるということです。
目的がはっきりしない資産管理だと、こまかな情報を集めて運用がたいへんなわりにいざというときに役に立たない台帳となりがちです。この観点で資産管理について見直していきましょう。
侵入されていないかどうかの確認
危険な脆弱性の場合は特に、すでに侵入されていないかを確認する必要があります。
パッチを当てると環境を汚してしまい、攻撃の手口、被害の状況の調査が困難になる可能性があります。また、パッチを当てたからといってシステムが直り攻撃を止められるわけではありません。確かにこの脆弱性を突く新たな攻撃は止められますが、すでに侵入している攻撃者の行動を止められるわけではないからです。
ではどうやって侵入されていないかを確認できるのでしょうか?
ProxyLogonの場合、JPCERT/CCでは以下のように確認方法が示されていました。
https://www.jpcert.or.jp/at/2021/at210012.html
関連情報
マイクロソフトなどから、観測した攻撃の内容を解説する情報が公開されています。同社のブログでは、悪用された脆弱性の内容に加え、攻撃で確認された活動、攻撃の被害有無を確認するための調査方法やインジケータ情報が公開されています。調査を実施する場合の参考にしてください。
Microsoft HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
リンク先である、HAFNIUM targeting Exchange Servers with 0-day exploits の文中、
Can I determine if I have been compromised by this activity?
(すでに攻撃されているか確認できますか?)
の中に、ログの確認方法、不審ファイルのパスとファイル名、IOC(indicators of compromise, 不審ファイルなどのハッシュ値)、アンチマルウェアソフトでの識別情報が示されています。
これら情報を使い攻撃の有無を確認できます。
実際にはシステム・ITについてベンダー丸投げの会社もあると思います。この緩和策の文章を読み、理解し、実際にシステムを確認できるくらいのことができる社員を育てることは大切なことです。リスクに対応するスピードを上げることができます。
もし攻撃されている(いた)ことが確認できた場合の対応ですが、自社で対応できないようであれば外部に依頼することをお勧めします。よくわからないまま動くより、有識者の指示通りに動いた方がよいです。そうしないと被害がどこまで広がっているのかがわからなくなってしまうリスクがあります。
ProxyLogonの場合、初動としては
- Exchangeサーバをネットワークから切断する
- Exchange サーバが直るまでAD(Active Directory)と接続できないようにする
くらいをしておいた方がよいでしょう。これで封じ込めておいて専門家による調査を待ちます。
なお、Exchange サーバをネットワークから切断するとメールが使えなくなります。
なのでメールが使えなくなった場合の連絡手段はBCP(事業継続計画)の中で用意しておくべきです。もしメールが使えなくなった場合の対応策が考えられていない場合は早急にご検討ください。
パッチを当てる
ではパッチを当てましょう。
パッチは常に最新のものを適用する方針が良いです。テストが大変なのでテストおよび障害に備えたロールバックの手順をしっかり用意しましょう。
脆弱性管理の面では定期的なパッチに備える体制、緊急パッチに対応するための体制を用意しておくべきです。
本当に危険な脆弱性に対して緊急パッチが発行されます。
ProxyLogonの場合、ビジネスに必須なメールを処理するExchangeサーバが対象です。トラブルが怖く、または影響が出てしまいパッチをなかなか当てられない企業も多かったのではないでしょうか。
そのような場合は緩和策を適用します。緩和策は英語ではmitigate (ミティゲート)やworkaround(ワークアラウンド)と言ったりもします。
ProxyLogonでは以下のようにJPCERT/CCの注意喚起文の中に緩和策の情報へのリンクが記載されていました。
[JPCERT/CC] Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html
マイクロソフトが改めてブログを公開し、速やかな対策実施に加え、脆弱性を悪用する攻撃の被害有無の調査を推奨するとともに、侵入の痕跡有無を調査するPowerShellスクリプトなどをGithubで公開しています。また、本脆弱性を悪用した攻撃については、VolexityやFireEye、米CISAなどもインジケータや調査方法に関する情報を公開しています。マイクロソフトなどが提供する情報を参考に、速やかな対策実施や調査を実施することを推奨します。
マイクロソフト株式会社 Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/
緩和策は攻撃に対する時間稼ぎです。緩和策をとったからパッチは当てなくていいという考えかたは取るべきではありません。根本解決はパッチを当てることです。パッチを当てる環境を整えましょう。
おわりに
ProxyLogonを題材に脆弱性管理方法について述べました。自社の管理状況のチェックにお役立てください。