「Microsoft Exchange 2013」およびそれ以降に重大なゼロデイ脆弱性

“JVN”が公開した脆弱性レポート（JVN#97449410）

　「Microsoft Exchange 2013」およびそれ以降のバージョンに影響するゼロデイ脆弱性“PrivExchange”が、セキュリティ研究者のDirk-jan Mollema氏によって発表された。既知の脆弱性を組み合わせることで、ドメインコントローラーの管理者権限を奪うことができてしまうという。脆弱性ポータルサイト“JVN”が1月29日付けで注意喚起を行っている。

　本脆弱性が発見されたきっかけは、Zero Day Initiative（ZDI）が2018年12月に公開したブログ記事だ。この記事では、「Exchange Web Services（EWS）」の“PushSubscription”機能を利用してHTTP経由で任意のURLに対して「Exchange」を認証できることが示されている。

　これにはHTTPを介して送信されたNTLM認証が用いられるが、通信に署名や暗号化を強制する“Sign”フラグおよび“Seal”フラグが設定できない。そのため、NTLM認証データを中継することによる攻撃が成立してしまう。Microsoftはすでに緩和策を提供している上、NTLM認証がHTTP経由ではなくSMB経由の場合は機能しないが、多くの企業ネットワークでは対策が十分でないという。

　加えて、初期設定の「Exchange」サーバーは“Active Directory”で高い権限を与えられており、不正に取得した「Exchange」サーバーのアカウントからドメインコントローラーの管理者権限を取得できることが先行研究により知られている。

攻撃の概念図（Dirk-jan Mollema氏のブログより引用）

　つまり、「Exchange」のメールボックスアカウントを持ち、「Exchange」サーバおよびWindowsドメインコントローラーと通信できれば、ドメインそのものを乗っ取ることができる可能性がある。また、「Exchange」メールボックスアカウントのパスワードを知らなくても、「Exchange」サーバーと同じセグメントに接続していればNTLM認証データを中継する攻撃は可能であるとも報告されている。脆弱性の深刻度は、“CVSS v3”で基本値“8.8”、“CVSS v2”で基本値“8.3”と評価されている。

　現在のところ、本脆弱性への対策となるセキュリティ更新プログラムは提供されていない。この問題は「EWS」の“PushSubscription”の問題、NTLMリレー攻撃の問題、初期状態で「Exchange」サーバーに過剰な権限が与えられている問題の3つから構成されているため、そのいずれか、もしくは複数に対策を行うことで防止することができる。“JVN”が公開した脆弱性レポートでは「EWS」のサブスクリプション機能を無効化する、「Exchange」サーバーの権限を制限するなどの方法が案内されているので参考にしてほしい。