2021年3月8日

HafniumによるMicrosoft Exchangeに対するゼロデイ脆弱性攻撃

3月2日、マイクロソフト社は、中国で活動していると思われるHAFNIUM(ハフニウム)と呼ばれる攻撃グループが最近使用したゼロデイ脆弱性を検出したことを発表しました。これらの脆弱性は、被害を受けたMS-Exchangeサーバのアカウントにアクセスしてデータを盗み出し、Web シェルをインストールして

3月2日、マイクロソフト社は、中国で活動していると思われるHAFNIUM(ハフニウム)と呼ばれる攻撃グループが最近使用したゼロデイ脆弱性を検出したことを発表しました。これらの脆弱性は、被害を受けたMS-Exchangeサーバのアカウントにアクセスしてデータを盗み出し、Web シェルをインストールしてアクセスを持続させ、さらにデータを盗み出すために使用されました。マイクロソフト社は、3月3日にこれらの脆弱性およびその他のいくつかの脆弱性に対応する帯域外のセキュリティ更新プログラムをリリースしました。今回の脆弱性は、オンプレミス型のMS-Exchangeサーバにのみ影響することに注意が必要です。

Exchangeは非常に人気があり、影響を受けるサーバーのバージョン数も多く、またHAFNIUMが狙いを定めている産業分野も多岐にわたるため、現在報告されている3万件という被害の数はさらに増える可能性があります。

ゼロデイの連鎖

HAFNIUMチームは、攻撃を成功させるために、4つのゼロデイ・エクスプロイトを使用しました。4つの脆弱性はいずれも、公開されたExchangeサーバが443番ポートで信頼されていない接続を受信できることを必要とします。

セキュリティ企業のDEVCORE社が発見したCVE-2021-26855という脆弱性は、ProxyLogonと名付けられており、攻撃者はExchangeサーバーとの認証された接続を確立し、そこに保存されているメールボックスの内容を盗むことができました。この脆弱性は、ユーザーの操作、事前の権限、または以前に取得した認証情報を必要とせず、443番ポートで信頼されていない接続を受け入れることができるExchangeサーバーのみを必要とします。

残りの3つの脆弱性は、セキュリティ企業であるVolexity社が2021年1月に継続的な攻撃で発見・観測したものです。これらの脆弱性は、攻撃者がExchangeサーバーで認証を受ける必要がありますが、これは前者の脆弱性を利用することで容易に取得できます。

  • CVE-2021-26857 – 高度な特権を持つ SYSTEM アカウントで、攻撃者がサーバー上でコードを実行することが可能
  • CVE-2021-26858 および CVE-2021-27065 –これらの脆弱性は、HAFNIUMによって悪用され、サーバー上の任意のパスにファイルを書き込むことが可能

これらの未知の脆弱性を組み合わせることで、攻撃者は被害者のサーバーへのアクセスを可能にしました。

エクスプロイト後の行動

エクスプロイトが成功すると、HAFNIUMは、対象のサーバー上でいくつかのツールや技術を使用して、データを抽出し、感染したマシン上でのアクセスが持続できるようにしました。

まず、感染したサーバーへの永続的なアクセスとバックドアアクセスを得るために、Webシェルがインストールされます。Nishang や PowerCatなどのオープンソースのPowerShellツールを使用してリバースシェルを開き、攻撃者が所有するリモートサーバに通信します。

さらに、SysInternalsスイートに含まれるMicrosoft独自のProcdumpツールが、LSSASプロセスのメモリ内容をダンプするために使用されています。

HAFNIUMの特徴

HAFNIUMは、中国を起源とするとされる脅威アクターで、大学、研究施設、NGO、防衛関連企業など、米国のターゲットに大きな関心を寄せています。

このハッキンググループは、公開されているサーバの脆弱性を利用して被害者を危険にさらし、オープンソースプロジェクトを利用してC&Cやさらなるエクスプロイテーションなどを行ってきました。

また、PowerShellベースのツールや、米国のVPS(Virtual Private Server)サーバーを攻撃用マシンとして好んで使用しているようです

この攻撃から防御するためには

企業は、セキュリティアップデートが利用可能になったら、すぐにシステムにパッチを適用する必要があります。これらの攻撃に関する情報が公開されると、HAFNIUMグループなどの攻撃者は、パッチが適用されていないサーバーを標的にした攻撃を強化したようです。

Deep Instinct社は、同社の顧客(およびすべての読者)に対し、関連するMS-Exchangeサーバーに、マイクロソフト社が発表した最新の更新プログラムを早急に適用するよう求めています。マイクロソフト社は、脆弱性へのパッチ適用に加えて、組織がこの攻撃によって危険にさらされているかどうかを確認するためのガイダンスと方法を公開しました。

Deep Instinct製品には、悪意のあるPowershellアクティビティに対する保護を含む、複数の保護層が含まれています。これは、深層学習ベースのPowershellスキャンメカニズムを含む複数のコンポーネントを使用して行われます。今回の攻撃で使用されたことがわかっているPowershellコンポーネントは、Deep Instinctによって防止されます。さらに、Deep Instinctの深層学習ベースの静的分析保護は、攻撃者が目立たないようにしようとするときに悪用される可能性のあるデュアルユースツールをスキャンして、お客様を保護します。

Deep Instinct社は、この種の新しい攻撃に常に注意を払い、お客様が直面する可能性のあるあらゆる脅威から確実に保護されるよう全力を尽くしています。私たちは、関連するすべてのIoCを拡大・監視し、Deep Instinctのサイバーセキュリティ製品群がそれらの攻撃から保護することに注力しています。もしサポートが必要な場合や、ご質問がある場合には、遠慮なくご連絡ください。

IOC - Web シェルのハッシュ(SHA256)

b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944