Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

CVE-2020-0688: Microsoft Exchange Server の静的な鍵の脆弱性により、リモートでコードが実行される

Microsoft Exchange Server における深刻な脆弱性に関する詳細が最近公開されました。攻撃者は脆弱なシステムをプローブしています。

Update 02/27/2020: The proof-of-concept section has been updated to reflect the availability of several exploit scripts, including those that can be used to automate exploitation.

背景

2月11日、マイクロソフトは月例更新プログラムの一環として、Microsoft Exchange Server の重大な脆弱性に対するパッチをリリースしました。当初、マイクロソフトはこれを Microsoft Exchange におけるメモリ破損の脆弱性と名付けましたが、マイクロソフトは脆弱性の名称と説明を更新しています。

分析

CVE-2020-0688は、Microsoft Exchange Server のコンポーネントである Microsoft Exchange コントロールパネル(ECP)における静的鍵の脆弱性です。静的鍵を使用すると、任意の権限レベルを持つ認証された攻撃者が特殊な細工を施したリクエストを脆弱な ECP に送信し、SYSTEM レベルの任意のコードを実行する可能性があります。

マイクロソフトは、この脆弱性を重要と評価していますが、同社の悪用可能性指標では、悪用の可能性が高いことが指摘されています。

脆弱性の詳細

Zero Day Initiative(ZDI)の研究者によると、Microsoft Exchange Server のインストールは、構成ファイル(web.config)の MachineKeySection で同じvalidationKey と encryptionKeyを使用します。ZDI が指摘しているように、これらの鍵は ViewState にシリアル化された形式で保存されたサーバー側のデータを保護するために使用され、 クライアントからの要求の一部として「__VIEWSTATE」パラメータに含まれています。最近ブログ記事で取り上げた Microsoft SQL Server Reporting Service の不適切な入力検証の脆弱性でも VIEWSTATE パラメータを介した信頼できないデータのシリアル化が問題となりました。

悪意のある要求を生成するには、攻撃者は次のパラメータ値を取得する必要があります。

パラメータ 場所
validationKey System.Web.Configuration
validation System.Web.Configuration
VIEWSTATEGENERATOR Exchange Control Panel Source
ASP.NET_SessionId Cookie Field in Request Header

最初の2つのパラメータは静的で簡単に取得できますが、最後の2つのパラメータでは、攻撃者は有効なユーザー資格情報を使用して脆弱な ECP インスタンスにログインする必要があります。その後、攻撃者はこれらのパラメータを HTML ソースとリクエストヘッダーの Cookie フィールドから取得できます。

攻撃者がこれらの値を取得すると、ysoserial.net を使用して脆弱な ECP インスタンスへの悪意のあるリクエストの一部としてシリアル化されたペイロードを生成できます。

ZDI はブログでこの脆弱性の悪用を示す YouTube ビデオを共有しました。

有効なユーザー資格要件

脆弱性に関する Twitterスレッドでは、セキュリティ研究者の Kevin Beaumont 氏は、認証は「大きなハードルではない」と述べています。また、LinkedIn ページから従業員情報を取得し、それを使用して Outlook Web Access(OWA)を標的にし、資格情報の詰め込みにより認証を試行するツールが利用できることも言及しています。Beaumont 氏は、このツールは「OWA および ECP アクセスを取得するために、活発な攻撃で使用されている」と述べています。

パッチ適用の背後にある組織

マイクロソフトは、OWA および ECP のログインページを通じて Exchange Server のビルド番号を識別する方法を提供するため、攻撃者は CVE-2020-0688 に対して潜在的に脆弱なサーバーを識別することができます。

Beaumont 氏は、「簡単なサンプリング」を通じて、Exchange Server インスタンスのパッチ適用について組織が「数か月ではなく、数年遅れている」ことを発見しました。これは大きな懸念事項です。

攻撃者、脆弱な Microsoft Exchange Server をプローブする

ZDI のブログ記事が公開されて間もなく、攻撃者は脆弱な Microsoft Exchange Server のプローブを開始しました。

Bad Packets の最高研究責任者である Troy Mursch 氏は、この脆弱性について「マススキャンアクティビティが開始された」とツイートしました。

また、Beaumont 氏も BinaryEdge からのデータに基づいて、脆弱性のマススキャンアクティビティを特定しました

概念実証

この脆弱性の概念実証を作成するための詳細は、ZDI のブログ記事でご覧いただけます。さらに、最近いくつかのエクスプロイトスクリプトが GitHub [123] で共有されました。これらは、ユーザーが有効な資格情報を持っている限り、エクスプロイトを自動化します。

解決策

マイクロソフトは、2020年2月11日に公開された月例更新プログラムで、Microsoft Exchange Server 2010、2013、2016、および2019における脆弱性に対するパッチをリリースしました。未確認ですが、この脆弱性は Microsoft Exchange Server 2007にも影響を与える可能性があります。Microsoft Exchange Server 2007のサポートは2017年4月に終了しました

Microsoft Exchange Server のバージョン サポート記事
2010 Service Pack 3 4536989
2013 Cumulative Update 23 4536988
2016 Cumulative Update 14 4536987
2016 Cumulative Update 15 4536987
2019 Cumulative Update 3 4536987
2019 Cumulative Update 4 4536987

攻撃されたシステムの特定

この脆弱性を識別するための Tenable プラグインのリストは、こちらからご覧いただけます。

詳細情報を入手する

Tenable コミュニティの Tenable セキュリティレスポンスチームにご参加ください

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、Tenable の詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の30日間無料トライアルをお試しください。

Tenable のブログに登録して通知を受けってください

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加していただくと、電話、メール、コミュニティ、チャットサポートを年中いつでもご利用いただけきます。詳細についてはこちらを参照してください。

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

オペレーショナルテクノロジーのセキュリティを強化しましょう。
リスクを軽減しましょう。