Microsoft Exchange Server の任意のコードを実行される問題 (CVE-2021-42321) について

マイクロソフト社は2021年11月10日(日本時間)、同社の製品に存在する脆弱性を修正するため、2021年11月分のセキュリティ更新プログラムを公開しました。 そのセキュリティ更新プログラムには、2021年10月16〜17日に中国の成都で開催されたハッキングコンテスト「天府杯」で発見された脆弱性のひとつ 「Microsoft Exchange Server のリモートでコードが実行される問題 (CVE-2021-42321 )」 の修正も含まれていました。

この脆弱性を悪用された場合、権限を持った攻撃者にネットワークを経由してシステムを不正に操作される可能性があります。 悪用には認証が必要であるものの、高い権限は必要とされていません。 2021年11月分のセキュリティ更新プログラムの公開時には既に攻撃が確認されており、マイクロソフト社は直ちにアップデートをインストールするよう推奨しています。

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

この脆弱性 (CVE-2021-42321) の影響を受けるのは以下の製品です。

• Microsoft Exchange Server 2019 Cumulative Update 11
• Microsoft Exchange Server 2019 Cumulative Update 10
• Microsoft Exchange Server 2016 Cumulative Update 22
• Microsoft Exchange Server 2016 Cumulative Update 21

マイクロソフト社によれば 「これらの脆弱性は、カスタマーによって Exchange Hybrid モードで使用されているサーバを含む、オンプレミス版の Microsoft Exchange Server に影響します。 Exchange Online のカスタマーは既に保護されており、特にアクションは必要ありません。」 とされています。

この脆弱性が悪用されたかどうかをチェックするためのツールが提供されています。 Exchange Server 上で次の PowerShell クエリを実行し、イベントが出力されるかどうかを確認してください。

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

2021年11月21日、この脆弱性の実証コードが Janggggg 氏によって公開されました。 また2021年11月19日には、tradahacking および CDLabs の編集者である Peterjson 氏によって脆弱性の詳細な解説も 公開 されています。これまでは限られた攻撃者だけがこの脆弱性を悪用していたようですが、脆弱性の詳細や実証コードが公開されたことで、より多くの攻撃者がこの脆弱性を悪用できるようになると予想されます。 (2021年11月24日 追加)

過去の Microsoft Exchange Server の脆弱性

ProxyLogon (CVE-2021-26855)

マイクロソフト社は2021年3月2日に定例外で ProxyLogon と名付けられた脆弱性に対応するため Microsoft Exchange Server のセキュリティアップデートを提供しました。 ProxyLogon は、「リモートの攻撃者に Exchange Server の権限を奪取される問題 (CVE-2021-26855)」であり、「認証された攻撃者に任意のファイルを上書きされる問題 (CVE-2021-27065)」と組み合わせることによって、 Microsoft Exchange Server 上で攻撃者がコマンドを実行できるものでした。

マイクロソフト社はまた、国家を背景とし中国で活動する脅威アクター「HAFNIUM」に関する記事を公開し、HAFNIUM によって上記の脆弱性が悪用されている、と主張しました。 同社は2021年3月12日にも、パッチの適用されていない侵害された Exchange Server で使用されているランサムウェア DearCry を検知しブロックしている、と Twitter に投稿しています。 米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、この活動に関連する 10 の Web Shell「China Chopper Webshell」を特定したとしています。 (※ Web Shell は、いわゆるマルウェアであり、攻撃者に攻略されたシステムへインストールされます。Web Shell をインストールされることにより、そのシステムは HTTPS 経由で攻撃者に操作されるシステムとなり、完全に乗っ取られた状態となります。)

これらの脆弱性を悪用する攻撃は、Microsoft Exchange Server が広く使用されている製品であることと、その悪用の容易さもあり、急速に広まりました。 CISA からは アラート だけでなく 緊急指令 も発令されています。

ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)

「ProxyShell」とは、DEVCORE に所属する Orange Tsai 氏によって発見された Microsoft Exchange Server に存在する複数の脆弱性で、 これらの脆弱性を組み合わせて利用されることによって、 Microsoft Exchange Server が動作するシステムは、リモートから認証無しに PowerShell コマンドを実行される可能性があります。 ProxyShell には次の CVE 番号が割り振られています。

• Explicit Logon 機能の処理に任意のバックエンドの URL へアクセスされる問題 (CVE-2021-34473 )
• Exchange PowerShell バックエンドの処理に他のユーザになりすまされる問題 (CVE-2021-34523 )
• Exchange PowerShell コマンドの処理に任意のファイルを上書きされる問題 (CVE-2021-31207 )

ProxyShell の更に詳しい内容については弊社ブログ記事『Microsoft Exchange Server の脆弱性「ProxyShell」とは』をご参照ください。

更新履歴

• 2021年11月11日

  • 新規公開

• 2021年11月24日

  • 脆弱性の実証コードや詳細な解説についての記述を追加しました。

参照

1. 「2021 年 11 月のセキュリティ更新プログラム (月例)」, Microsoft Security Response Center, 2021年11月9日
2. The Exchange Team, "Released: November 2021 Exchange Server Security Updates," Microsoft Exchange Team Blog, Nov 9, 2021.
3. "Microsoft Exchange Server のリモートでコードが実行される脆弱性 | CVE-2021-42321," Microsoft Security Update Guide, Nov 9, 2021.
4. "Known Exploited Vulnerabilities Catalog," Cybersecurity and Infrastructure Security Agency, Nov 3, 2021.
5. 「Microsoft 製品の脆弱性対策について(2021年11月)」, 情報処理推進機構, 2021年11月10日
6. 「2021年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起」, JPCERT/CC, 2021年11月10日
7. Peterjson, "Some notes about Microsoft Exchange Deserialization RCE (CVE-2021–42321)," Medium, Nov 19, 2021.