Microsoft Exchangeに未解決の脆弱性、管理者特権獲得される恐れ：コンセプト実証ツールも公開

Exchangeのデフォルトの設定と組み合わせて悪用すれば、攻撃者がドメイン管理者特権を獲得できてしまう恐れがある。コンセプト実証ツールも公開されている。

[鈴木聖子，ITmedia]

　米Microsoftの法人向けメールシステム「Microsoft Exchange」に未解決の脆弱性が発見され、米セキュリティ機関のCERT/CCが1月28日、セキュリティ情報を公開した。この問題をExchangeのデフォルトの設定と組み合わせて悪用されれば、リモートの攻撃者にExchangeサーバの特権を獲得される恐れもあるとして、管理者に警戒を促している。

　CERT/CCのセキュリティ情報によると、Exchange 2013以降のバージョンにNTLM認証に関連した未解決の脆弱性が存在する。現時点でMicrosoftのパッチは公開されていない。

　問題の一端は、デフォルトの設定でMicrosoft ExchangeがActive DirectoryのDomainオブジェクトに関して広範な特権を与えられていることに起因する。攻撃者は今回発覚した脆弱性を突いて、Exchangeサーバの特権を獲得することにより、脆弱性のあるExchangeサーバを含むドメインのDomain管理者特権を獲得できてしまう恐れがある。

NTLM認証に関する脆弱性を突いた攻撃の方法（出典：dirkjanm.io）

　今回の問題を報告したオランダのセキュリティ研究者Dirk-jan Mollema氏は、この攻撃を「PrivExchange」と命名し、コンセプト実証ツールを公開している。

　米セキュリティ機関のSANS Internet Storm Centerによれば、特権を獲得した攻撃者はDomain Controllerから全てのパスワードをダンプしたり、他のユーザーになりすましてドメインを完全に乗っ取ることも可能になる。その影響は「とてつもなく大きい」とSANSは指摘、Exchangeの管理者に対し、対策を講じるよう呼び掛けている。

　脆弱性はExchange 2013、2016、2019で確認され、攻撃は最新の更新プログラムを適用したExchangeに対しても通用するという。

　研究者のブログやCERT/CC、SANSでは、それぞれ当面の緩和策を紹介している。