Last Updated on 2024-06-29 09:27 by admin

2024年2月15日、マイクロソフトはExchange Serverに新たに発見された重大なセキュリティ脆弱性が、修正プログラムがリリースされた翌日から既に積極的に悪用されていることを認めた。この脆弱性はCVE-2024-21410（CVSSスコア：9.8）として追跡され、Exchange Serverに影響を与える権限昇格のケースとして記述されている。攻撃者は、OutlookなどのNTLMクライアントを対象とし、NTLM認証情報が漏洩するタイプの脆弱性を利用することができる。漏洩した認証情報は、被害者クライアントとしてExchangeサーバーに対して権限を得て、被害者の代わりにExchangeサーバー上で操作を実行するためにリレーされる可能性がある。

この脆弱性の成功した悪用により、攻撃者はユーザーの漏洩したNet-NTLMv2ハッシュを脆弱なExchangeサーバーに対してリレーし、ユーザーとして認証することが可能になる。マイクロソフトは、この脆弱性の「悪用が検出された」という評価を更新し、Exchange Server 2019 Cumulative Update 14（CU14）のアップデートで認証のための拡張保護（EPA）をデフォルトで有効にした。

この脆弱性の悪用の性質や、この脆弱性を悪用している可能性のある脅威アクターの身元については現在不明である。しかし、ロシアの国家関連ハッキンググループであるAPT28（別名Forest Blizzard）は、Microsoft Outlookの脆弱性を悪用してNTLMリレー攻撃を行う歴史がある。Trend Microは、この敵対者が少なくとも2022年4月以降、外交、エネルギー、防衛、交通、労働、社会福祉、財政、育児、地方自治体などを扱う組織を対象としたNTLMリレー攻撃に関与していると指摘している。

CVE-2024-21410は、今週マイクロソフトによって修正され、実際の攻撃で積極的に悪用されている他の2つのWindowsの脆弱性、CVE-2024-21351（CVSSスコア：7.6）およびCVE-2024-21412（CVSSスコア：8.1）に追加される。CVE-2024-21412の悪用は、Windows SmartScreen保護のバイパスを可能にするバグであり、以前にWinRARのゼロデイを利用してDarkMeトロイの木馬を展開したことがある高度な持続的脅威であるWater Hydra（別名DarkCasino）に帰属されている。

マイクロソフトのPatch Tuesdayアップデートは、Outlook電子メールソフトウェアに影響を与える別の重大な欠陥CVE-2024-21413も対処しており、保護ビューなどのセキュリティ対策を容易に回避してリモートコード実行を可能にする。この問題は、攻撃者が制御するサーバー（例：”file:///\\10.10.111.111\test\test.rtf!something”）にホストされている任意のペイロードを指すURLに感嘆符を追加することで、”file://”ハイパーリンクの誤った解析から生じる。

【ニュース解説】

2024年2月15日、マイクロソフトはExchange Serverにおける新たに発見された重大なセキュリティ脆弱性が、修正プログラムのリリース直後から既に積極的に悪用されていることを公表しました。この脆弱性はCVE-2024-21410として識別され、CVSSスコアは9.8と非常に高いリスクレベルを示しています。具体的には、権限昇格の問題であり、攻撃者がOutlookなどのNTLMクライアントを標的にし、NTLM認証情報の漏洩を利用してExchangeサーバーに対して権限を得ることが可能です。

この脆弱性の悪用に成功すると、攻撃者はユーザーの漏洩したNet-NTLMv2ハッシュを利用して、脆弱なExchangeサーバーに対してユーザーとして認証し、被害者の代わりにサーバー上で操作を実行することができます。マイクロソフトはこの問題に対応し、Exchange Server 2019 Cumulative Update 14（CU14）で認証のための拡張保護（EPA）をデフォルトで有効にしました。

この脆弱性を悪用している脅威アクターの具体的な情報は明らかにされていませんが、過去にロシアの国家関連ハッキンググループAPT28がMicrosoft Outlookの脆弱性を利用したNTLMリレー攻撃を行っていたことが知られています。これらの攻撃は、外交、エネルギー、防衛、交通などの重要な分野を対象としていました。

この脆弱性は、他の2つのWindowsの脆弱性CVE-2024-21351およびCVE-2024-21412とともに、実際の攻撃で積極的に悪用されていることが報告されています。特にCVE-2024-21412は、Windows SmartScreen保護をバイパスすることが可能で、以前にゼロデイを利用した攻撃で知られるWater Hydraによる悪用が指摘されています。

さらに、マイクロソフトはOutlookに影響を与える別の重大な脆弱性CVE-2024-21413も修正しました。この脆弱性は、攻撃者が制御するサーバーにホストされている任意のペイロードを指すURLに感嘆符を追加することで、”file://”ハイパーリンクの誤った解析から生じ、リモートコード実行を可能にする可能性があります。

これらの脆弱性の発見と悪用は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、重要なインフラを管理するサーバーのセキュリティは、組織にとって最優先事項であるべきです。マイクロソフトの迅速な対応は評価されるべきですが、組織は定期的なセキュリティアップデートの適用、脆弱性の監視、従業員のセキュリティ意識の向上など、継続的なセキュリティ対策の強化が必要です。

from Critical Exchange Server Flaw (CVE-2024-21410) Under Active Exploitation.

admin

See Full Bio