「ProxyNotShell」の緩和策をバイパスする新たな攻撃手法が見つかる、急ぎ対処を

Exchange Serverに見つかったリモートコード実行の脆弱性、通称「ProxyNotShell」を悪用した新たな攻撃手法が見つかった。既に悪用も確認済みだ。

[後藤大地，有限会社オングス]

　CrowdStrikeは2022年12月20日（現地時間）、同社のブログで、「Microsoft Exchange Server」（以下、Exchange Server）で見つかった2つの脆弱（ぜいじゃく）性、通称「ProxyNotShell」を悪用した新たな攻撃手法「OWASSRF」を発見したと伝えた。

　Microsoftは、ProxyNotShellについて、エンドポイントのURL書き換える軽減策を提供していたが、OWASSRFはこれをバイパスしてリモートコード実行を引き起こせる。Exchange Serverを使用している場合は、同脆弱性について再度確認するとともに、必要に応じて適切な対処が求められる。

CrowdStrikeはProxyNotShellを悪用した新たな攻撃手法「OWASSRF」について伝えた（出典：CrowdStrikeのブログ）

緩和策は不十分　再度情報を確認しアップデートの適用を

　ProxyNotShellは、CVE-2022-41040とCVE-2022-41082という2つの脆弱性の通称だ。

　これらの脆弱性は情報公開時点で既に悪用が確認されていたこともあり、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が注意喚起し、「既知の悪用された脆弱性カタログ」に追加されている。

　Microsoftは2022年9月29日（現地時間）、これについて「Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server」を公開し、ユーザーに緩和策の適用方法を示した。

　OWASSRFは「Outlook Web Access」（OWA）のフロントエンドのエンドポイントを介することで、上記の緩和策をバイパスする攻撃手法だ。既にこの手法を使ったサイバー攻撃についても確認している。

　これを防ぐためには、Exchange ServerにMicrosoftが提供した2022年11月の累積更新プログラムでのアップデート（KB5019758）を適用する必要がある。CrowdStrikeによれば、これを適用したExchange Serverに対しては今回見つけたバイパス手法は適用できなかったという。

　CrowdStrikeは、KB5019758をすぐには適用できない場合、OWAを無効にすることを推奨している。可能であればMicrosoftの推奨事項に従って、管理者以外のユーザーによる「PowerShell」のリモート操作を無効化することも勧めている。