gamzatti: March 2021 Archives

***** update2*****

1点訂正があります。
以前CVE-2021-24085も組み合わせて使われると書いていたのですが、
CVE-2021-24085のパッチを適用後もCVE-2021-27065によるバックドア設置が可能であることを確認したため、
msExchEcpCanaryはCVE-2021-26855(SSRFの脆弱性)によって取得していると思われます。
PoCコードからも、そのように読み取れますね。
失礼しました。。

***** update*****

Exchange Serverのsystem権限を取れるRCEの攻撃コードが見つかったようです。

(各Exchangeで使われている)有効なメールアドレスの情報が1つあれば、exploit可能なようです。

Metasploitにモジュールが組み込まれたとの情報もあるため、特にインターネットからExchangeのHTTPSサーバがアクセス可能な場合は、注意が必要な状況かと思います。

また追加情報があれば、アップデートします

********************

具体的には、以下の脆弱性を組み合わせて悪用することで、Exchange Serverにバックドアを置いてリモート制御することが可能になるとのこと。

CVE-2021-26855(SSRFの脆弱性),

CVE-2021-27065(任意のファイル書き込みの脆弱性)

これらの攻撃は全て、Webメールなどを提供しているexchange server443ポート宛に行われます。

CVE-2021-26855は、それらの脆弱性単体で何かサーバに影響を与えるというよりは、CVE-2021-26855のファイル書き込みに必要なトークンやcookieなどを入手するために使われるものと思われます。

攻撃手法についてこちらの記事が詳しいので、興味がある方は読んでみるといいと思います。

検知の観点では、これらに記載の通り、攻撃を受けると特徴的なパスやクエリを使ったリクエストが送られ、公開ディレクトリにwebshellが置かれます。

また、VirtualDirectoryの設定(InternalUrl ExternalUrl )不正に書き換えられるため、設定が正しいかを確認することが手掛かりとなりそうです。

まずは、自組織のExchange Serverの443ポートがインターネットからアクセス可能な状態になっていないか確認するのが良さそうです。

外に開いていなくとも、組織内での侵害(横展開)に悪用される可能性はあると思います。

ちなみに、SSRFって少し分かりづらいと思うのですが、超概要についてはこちらを読んでみてください。

CVE-2021-26855のSSRFは、exchangeHTTPサーバがKerberosを介してIISなどのバックエンドサーバーに対して認証を行う処理を悪用して、攻撃者がexchangeサーバになりすますことができるという内容だそうです。

About this Archive

This page is an archive of recent entries written by gamzatti in March 2021.

gamzatti: January 2021 is the previous archive.

gamzatti: May 2021 is the next archive.

Find recent content on the main index or look in the archives to find all content.