消えないExchange Server脆弱性「ProxyLogon」の脅威　パッチがあるのになぜ？：どうなった「Exchange Server」の“あの脆弱性”【第3回】

「ProxyLogon」は始まりにすぎなかった。2020年末からMicrosoftの「Exchange Server」に見つかった脆弱性は、ProxyLogonだけではない。

≫ 2023年02月17日 08時15分公開

だから「ProxyLogon」の脅威は消えない

併せて読みたいお薦め記事

連載：どうなった「Exchange Server」の“あの脆弱性”

「Exchange Server」は狙われている

　Exchange Serverの脆弱性「ProxyOracle」は、台湾のセキュリティコンサルティング会社DEVCOREのセキュリティ研究者、オレンジ・ツァイ氏が発見した。ツァイ氏によると、ProxyOracleはExchange Serverの他の脆弱性と比べて比較的リスクが低い。

　ProxyOracleは、CVE（共通脆弱性識別子）リストでは「CVE-2021-31195」「CVE-2021-31196」に分割される。攻撃者はこれら2つの脆弱性を悪用することで「セッションcookie」にアクセスし、パスワードを不正入手できる恐れがあるという。セッションcookieは、エンドユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッション（Webサイトへのアクセスの単位）を続けられるようにする機能だ。

　ツァイ氏はProxyOracleを悪用した攻撃について「標的となったエンドユーザーが攻撃の途中でWebブラウザを閉じても、攻撃が継続する点が巧妙だ」と説明する。

脅威はさらに拡大　「ProxyShell」も発見

　Exchange Serverの脆弱性の発見はProxyOracleで終わらなかった。2021年8月、ツァイ氏は年次のセキュリティカンファレンス「Black Hat USA 2021」で、3つの脆弱性（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）群である「ProxyShell」について説明した。同氏によると、ProxyShellは2021年4月、トレンドマイクロの脆弱性発見コミュニティー「Zero Day Initiative」の報告で存在が知られた。

　ProxyShellは認証の迂回（うかい）、不正な権限昇格、不正コマンドの実行という3つのことを可能にする脆弱性群だ。攻撃者は3つの脆弱性を悪用することで、443番ポート（WebサーバがWebブラウザと通信するポート）経由で標的のシステムへの侵入が可能になる。侵入すればシステムからデータを抽出したり、ランサムウェア（身代金要求型マルウェア）攻撃を実行したりできる。被害拡大につながるラテラル（横方向）のシステム移動も可能だ。

　発見後、MicrosoftはProxyShellのパッチ（修正プログラム）を公開した。しかしExchange Serverのユーザー企業の中には、ProxyShellの危険性を正しく評価せず、パッチ適用を放置することがあったとセキュリティ専門家はみる。

　セキュリティベンダーSevco SecurityのCXO（最高ユーザー体験責任者）グレッグ・フィッツジェラルド氏は、「ユーザー企業は『Patch Tuesday』（Microsoftが月例で提供する修正プログラム）の重要性を正しく認識しない場合がある」と話す。Microsoftがパッチを公開して脆弱性問題が解決したと考えても、パッチを適用しないユーザー企業がある限り、リスクは残る。

　第4回は、Exchange Serverのもう一つの脆弱性「ProxyRelay」を取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ