先日公開された Microsoft Exchange の脆弱性に対する次世代 WAF 対策

お客様の安全を保護

Fastly のセキュリティリサーチチームは、先日発表された Microsoft Exchange Server の脆弱性から Fastly の Signal Sciences 次世代 WAF をご利用のお客様を保護するためのルールを構築・デプロイしました。このカスタムルールは、コンソール内の「Templated Rules」にて利用できます。 

Signal Science の次世代 WAF を Microsoft Exchange Server の前に使用しているお客様は、できるだけ早い段階でこのカスタムルールを有効にし、シグナルが観測された場合はリクエストをブロックするよう設定することを強くお勧めします。また、Microsoft のガイダンスに従い、影響があるシステムにパッチを適用するようにしてください。問題とされている脆弱性は現在世界中で幅広く悪用されており、深刻な影響を及ぼしています。 

Microsoft Exchange システムへのパッチ適用 

現在、この脆弱性が悪用されるケースが大幅に急増しています。絶えず変化する状況の中、Fastly のチームは最新の攻撃に対応するため、引き続きカスタムルールの開発に取り組んでいます。しかし、これを唯一の防御策とすべきではありません。影響を受けているシステムにパッチを適用し、インシデント対応を行い、Microsoft の勧告に従うことを強くお勧めします。 

エクスプロイトチェーン

Microsoft Exchange システムに対する攻撃では、複数の CVE (共通脆弱性識別子) を連鎖的に使用し、攻撃を実行していることが確認されています。これらの攻撃の影響は、リモートコード実行 (RCE) によるシステムの完全乗っ取りや、メールからのデータ漏えい、メールアカウントの侵害など多岐に渡っています。エクスプロイトチェーンは以下のように実行されます :

1. Microsoft Exchange サーバーにおけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性 (CVE-2021-26855) により、攻撃者は無防備な状態である Exchange サーバーに HTTP リクエストを送信し、Exchange サーバーとして他のエンドポイントにアクセスすることが可能です。認証されていない段階での攻撃であるため、この脆弱性は非常に簡単に悪用されてしまいます。

2. CVE-2021-26857 によって特定された安全ではないデシリアライゼーション脆弱性は、上記 SSRF 攻撃で得た SYSTEM レベルの認証を利用し、Unified Messaging Service によって安全ではないデシリアライズが行われる特製の SOAP ペイロードを送信します。これにより、攻撃者は SYSTEM として Exchange サーバー上でコードを実行することができます。

3. CVE-2021-26855 の悪用に成功した後、攻撃者は CVE-2021-27065 および CVE-2021-26858 を利用して、どのパス上でも Exchange サーバー自体に任意のファイルを書き込むことができます。攻撃者によってアップロードされたこのコードは、サーバー上で SYSTEM として実行されます。このような脆弱性を介して、ラテラルムーブメントやマルウェアの埋め込み、データ損失、エスカレーションなどが実行されます。

Signal Sciences の次世代 WAF のテンプレート化されたルールを有効にすることで、エクスプロイトチェーンの最初のステップの実行を阻止することができます。一連の攻撃に関するより技術的な詳細については、Praetorian 社によるこちらの投稿をご参照ください。また、テンプレート化されたルールの有効化に関しては、Fastly のドキュメントを参照してください。