HAFNIUM、Microsoft Exchange Serverへの攻撃にゼロデイ・エクスプロイト|Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > Analyst's Choice > 「HAFNIUM」がMicrosoft Exchange Serverへの攻撃に4つのゼロデイ・エクスプロイトを使用|アナリスト・チョイス 2021年4月

「HAFNIUM」がMicrosoft Exchange Serverへの攻撃に4つのゼロデイ・エクスプロイトを使用|アナリスト・チョイス 2021年4月

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

アナリスト:Rory Morrissey (Intelligence Architect @Machina Record)

 

Articles

・「HAFNIUM」がMicrosoft Exchange Serverへの攻撃に4つのゼロデイ・エクスプロイトを使用

・研究者がWindowsドメインを「ビットスクワット」

サイバー犯罪者に狙われる3Dセキュア

 

 

「HAFNIUM」がMicrosoft Exchange Serverへの攻撃に4つのゼロデイ・エクスプロイトを使用

マイクロソフトは、オンプレミスのExchangeサーバーへの攻撃に使用されている複数のゼロデイ・エクスプロイト(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065として追跡)を公表しました。同社は、このキャンペーンが「HAFNIUM」と名付けられた中国からオペレーションを行う国家支援グループによるものだと、確信を持って発表しました。

・これらの問題を悪用することにより、攻撃者たちは任意のHTTPリクエストを送ってExchangeサーバーとしての認証を受け、Exchangeサーバー上でSYSTEMとしてコードを実行し、サーバー上のどのパスにもファイルを書き込めるようになります。

・不正アクセス後、攻撃者はEメールアカウントにアクセスできるようになるほか、データを盗み取ったり標的環境への長期的なアクセスを維持するために使用できるwebshellや追加のマルウェアを展開することが可能になります。Volexity社(この企業も同インシデントに関する報告を行いました)は、「China Chopper」の亜種「ASPXSPY」や、「SPORTSBALL」と名付けられた新しいwebshellを攻撃者が使用した、と述べました。

・このグループは、米国の複数セクターの組織等を攻撃対象としていますが、これには感染症研究者や法律事務所、防衛関連請負業者、NGO、高等教育機関、政策シンクタンクが含まれます。攻撃への対応として、マイクロソフトはExchange Serverの問題を解決するためのパッチを公開しました。

出典:

      1. https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/?_hsmi=113910132&_hsenc=p2ANqtz-9mmPptNVv8RfZS9oxfBoUeEOyNiG8PufVSH-J7iU3LMwWlbmPxKCptgWYsA0OUGBPongYVblUtZG5TLTYxcCuUS2Vcgg
      2. https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/?_hsmi=113910132&_hsenc=p2ANqtz-839Lga3h–tONmwr3TDm46jqwzE6H1ZwOCLC3pz3Y8dSX0E_w4lhp_LCnugBiOsL-s1rJZScECc-6FPbaKIeGHe1AefA
      3. https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/?_hsmi=113910132&_hsenc=p2ANqtz–5bUE4jBqEQKCDi1C8xGyFzaZfhO52agTfw-fidr26Roh0yTFJK1gDXtz-DSMT9JUWohUmzbTI1jGZJQvEL-xj9DP5XQ

 

Analyst’s Comments

 

影響範囲:

公開されたセルフホストのExchangeサーバーを使用するすべての企業(本質的にはOutlook Web Accessを使用するすべての人)は、危険にさらされる可能性があると考えるべきです。小規模な組織やセキュリティチームの人数が少ない企業は、より高いリスクにさらされています。

 

見解:

この脅威は高リスクと考えられます。影響を受けるグループは、まだ侵害の兆候がない場合でも、適切な緩和戦略に基づいてシステムに対するチェックとパッチ適用を行ってください。

 

緩和戦略:
      1. Microsoft Exchangeサービスを、最新のバージョンとセキュリティパッチに更新してください。
      2. Exchangeサーバーポート443への信頼できない接続を制限してください。
      3. Microsoft Security Response Centerのページで、関連する攻撃を特定、緩和、防御するためのガイドを参照してください。
      4. クラウドベースのExchange Onlineサービスは、今回の4つの脆弱性の影響を受けなかったので、このサービスへの移行を検討してみてください。

IOCについては、記事の概要(冒頭)に記載した「出典」の1と3を参照してください。

 

研究者がWindowsドメインを「ビットスクワット」

セキュリティ研究者のRemxy Hax氏は、windows[.]comから1ビットフリップ離れた14個のドメイン名を購入しました。この研究者は、コンピュータの温度が高すぎたり、太陽フレアや宇宙線が発生したりすると、ビットが反転してしまうことがあると述べています。これにより、正規のドメイン名のビットの1つが反転し、スクワット(この場合は、購入)されたドメイン名に向けられるという効果があります。

・研究者たちは、シンクホールを設置し、UDPトラフィックやTCPトラフィックなどの正当なトラフィックが、Hax氏のスクワットされたドメインに送られていることを発見しました。

出展:

      1. https://remyhax.xyz/posts/bitsquatting-windows/?_hsmi=114307718&_hsenc=p2ANqtz-_QkJW6lU6P-_dr76arNxb686ifcpqPBaHl7kdzc0STbLfDdP_fkdb89PmcD_tQsCXcnTmg8opkF6tx-vQCsLPq1oF2DQ
      2. https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/?_hsmi=114307718&_hsenc=p2ANqtz–oSJL-N2tfSMY0UB86EEae_e_GuAVzrfdMwbhSC7esmVyLlxfmfi5ql-oI9TtXOZtDJw4wcBEiToGro52ReakbG06GFA

 

Analyst’s Comments

 

影響範囲:

インターネットを使用する全ての人

 

見解:

この脆弱性は、トラフィックをフィッシングサイトやマルウェアを配信するウェブサイトにリダイレクトするために使用される可能性がありますが、そのリスクは低いです。脅威アクターは、クライアントのブラウザがリダイレクトされる先の、正確なドメインを所有している必要があるためです。しかし、太陽フレアなど人間の力では制御できない事象が、コンピューターやインターネットに影響を及ぼし得ることについては、注目しておく価値があります。

 

緩和戦略:
  1. ウェブサイトのオーナーは、自分のサイトとよく似たスペルのURLを使用した詐欺サイトに注意する必要があります。
  2. ウェブサイトに接続する人は、常に最新のアンチウイルスを使用するとともに、インターネットを閲覧する際には常に注意を払うようにしてください。

 

サイバー犯罪者に狙われる3Dセキュア

Gemini Advisoryの研究者たちは、ダークウェブ・フォーラムにおいて、3Dセキュア(3DS)対策を回避する活動に積極的に参加している複数のユーザーを確認しました。3DSの目的は、オンラインおよびデビットカード取引のセキュリティ保護を強化することにあります。

・研究者たちは、サイバー犯罪者がソーシャルエンジニアリング技術や、フィッシングページ、詐欺ページを利用して、3DSによる保護を回避しようとしていると報告しています。Gemini Advisoryは、これらの攻撃は続く見込みだと、中程度の確信を持って述べています。

出典:https://geminiadvisory.io/cybercriminals-bypass-3ds/?_hsmi=114116355&_hsenc=p2ANqtz-__MrPNfiT62D6onX9-4eSXIKxElX9d-i2mo2_Lhm30hEprngWs133lAn6Ti_mr3COCCcFsha20vlBo2E6UAcMlTXXhnw

 

Analyst’s Comments

 

影響範囲:

金融機関、ECサイト、個人のクレジットカード保有者

 

見解:

この脅威は上記のグループにとって、現在進行中の中程度のリスクであると考えられます。

 

緩和戦略:
      1. 3Dセキュアのバージョン2にアップグレードすることで、現時点ではほとんどのリスクを軽減することができます。しかし、顧客の取引を円滑化するためにバージョン2の対象外となっている取引もあります。
      2. 社内で、またはGemini Advisoryのような第三者機関を通じて、不正カードデータを注意深く監視しましょう。