マイクロソフトは、中国の「ハフニウム」スパイが被害者のデータを盗むために悪用したExchange Serverの4つのゼロデイ脆弱性を修正しました。

マイクロソフトは、北京が支援するハッカーが Exchange Server の 4 つのゼロデイ脆弱性を悪用し、米国に拠点を置く防衛関連企業、法律事務所、感染症研究者からデータを盗んでいると発表している。

Windowsの巨人であるMicrosoftは本日、Exchangeのバグを修正するパッチを公開し、すべてのユーザーに即時適用を推奨しました。オンプレミス版およびホスティング版のExchange（バージョン2013～2019）には脆弱性があり、修正が必要です。

マイクロソフトの顧客セキュリティと信頼担当副社長トム・バート氏は、この犯罪者らを「ハフニウム」と名付け、米国にあるサーバーを使って中国で活動していると述べ、このサイバースパイ集団を国家が支援する「高度に熟練した洗練された行為者」と分類した。

バート氏は、スヌープは3段階の攻撃を実行すると述べた。

1. 盗んだパスワードやゼロデイ脆弱性を利用して Exchange Server にアクセスし、正当なユーザーになりすまします。
2. Web シェルを使用して、侵害された Exchange Server をリモートで制御します。
3. 得られたリモート アクセスを使用して、アメリカにあるサーバーから内部データを盗み出します。

中国のスパイたちは、連鎖的に脆弱な Exchange システムに侵入できる 4 つのゼロデイ バグを武器にしています。Microsoft によると、そのバグは次のとおりです。

Microsoft は、「外部に公開されている Exchange サーバーに更新プログラムを優先的にインストールする」ことを推奨しています。

マイクロソフトが2つのバグ発見に協力したとされるセキュリティコンサルタント会社 Volexity が、同社に警告を発するきっかけとなった事件についての説明を公開した。

Volexityは、2021年1月に顧客のExchangeサーバー上で異常なアクティビティに気づき、調査の結果、「正当なユーザーに関連しないと思われるIPアドレスに大量のデータが送信されている」ことを発見したと述べた。

ExchangeサーバーのIISログを詳しく調べたところ、かなり憂慮すべき結果が明らかになりました。ログには、Outlook Web Access（OWA）で使用される画像、JavaScript、カスケーディングスタイルシート、フォントに関連する有効なファイルへのPOSTリクエストの受信が記録されていました。Volexityは、攻撃者が標的のメールボックスからメールリストを取得し、ダウンロードすることに重点を置いていることを確認しました。

レドモンドはまた、DEVCOREリサーチチーム、Dubex、そして自社のMicrosoft Threat Intelligence CenterのOrange Tsai氏に、これらの脆弱性を発見・報告してくれたことに感謝の意を表した。マイクロソフトは、キム・ドットコム氏が設立したクラウドファイルロッカーMega.nzを、ハフニウムが盗み出したデータの優先的な宛先の一つとして挙げた。

ゼロデイ攻撃はクラウド Exchange には効果がないが、Microsoft のクラウド メッセージング サービスのユーザーは注意する必要がある。というのも、この IT 大手は Hafnium が「被害者の Office 365 テナントとやり取りしている」のを確認したと述べているからだ。

「顧客アカウントの侵害には失敗することが多いものの、この偵察活動は攻撃者が標的の環境に関するより詳細な情報を特定するのに役立ちます」とマイクロソフトは述べています。

できるだけ早くパッチを適用してください。ただし、管理者としてログインしてください。ポート443を調整し、パッチを適用できない場合は幸運を祈ってください。

マイクロソフトは、パッチへのリンクとインストール手順をこちらに掲載しています。当然のことながら、マイクロソフトは迅速なパッチ適用を推奨していますが、もしそれがあなたの環境で問題になるようであれば、この大手企業のセキュリティ専門家が救済策を提案しています。

アドバイザリには、「最初の攻撃では、Exchange サーバーのポート 443 への信頼されていない接続を確立する必要があります。信頼されていない接続を制限するか、VPN を設定して Exchange サーバーを外部アクセスから分離することで、この攻撃から保護できます。」と記載されています。

しかし、このメモには次のような警告も記されている。「この緩和策は攻撃の最初の部分のみを保護するものであり、攻撃者がすでにアクセス権を持っている場合、または管理者に悪意のあるファイルを実行するよう説得できた場合には、連鎖の他の部分がトリガーされる可能性があります。」

Microsoft のパッチが Exchange Server 2019 の 2 月 9 日のセキュリティ更新プログラムに置き換わるという事実から、少し安心できます。そのため、少し遅れている場合でも、遅れた更新プログラムは最悪のものではありません。

しかし、パッチを適用する場合は慎重に行う必要があります。管理者としてログインしていない場合、一部のファイルが正しくインストールされず、問題が通知されない可能性があるとソフトウェア大手は警告しています。Web版OutlookとExchangeコントロールパネルが動作しなくなったら、パッチ適用を間違えたと分かります。しかし、必ずしも動作しなくなるとは限りません。

それで頑張ってください。

このページでは、環境が Hafnium によって侵害されたかどうかを検出する方法についても詳しく説明します。

マイクロソフトは、これらの攻撃について米国政府に報告したと発表しました。つまり、バイデン政権は、ロシアに起因するとされるSolarWindsバックドア問題に加え、中国に起因するとされるハフニウム問題にも直面することになります。SolarWindsは最大3年間、セキュリティ侵害を受けていたと考えられています。しかし、マイクロソフトはハフニウムがどれくらいの期間活動していたかについては明らかにしていません。®