CrowdStrikeは12月20日(現地時間)、公式ブログ「OWASSRF: CrowdStrike Identifies New Method for Bypassing ProxyNotShell Mitigations」において、Microsoft Exchangeに報告されている2件の脆弱性「CVE-2022–41040」および「CVE-2022–41082」を悪用する新たな攻撃方法を発見したと伝えた。

「ProxyNotShell」と呼ばれるこの脆弱性は、Exchange PowerShellにアクセスできる攻撃者によってリモートから任意のコードが実行されるリスクがあるもの。今回新たに発見された手法を使った場合、Micrsooftが古いExchangeサーバ用に提供している軽減策を回避して攻撃することが可能だという。

ProxyNotShellを悪用する従来の攻撃手法では、まずCVE-2022–41040を用いてRemote PowerShellサービスに対してサーバサイドリクエストフォージェリ(SSRF)攻撃を仕掛け、標的へのアクセスを確保したらCVE-2022-41082を用いて任意のコードを実行し、次の攻撃への足掛かりを構築する。

最初のSSRF攻撃では、Autodiscoverエンドポイントを参照するパス混乱を含むURIが使用される。それに対し、新たに発見された攻撃手法では、Outlook Web Access (OWA)エンドポイントを利用したSSRF攻撃が行われる点がその特徴だという。このことから、新しい攻撃手法は「OWASSRF」と呼ばれている。

Microsoftは、古い Microsoft ExchangeサーバでProxyNotShellによる攻撃を防ぐための軽減策として、正規表現を使って問題のあるURIに対するリクエストを排除する方法を提供している。OWASSRFによる攻撃では、この正規表現のマッチングによるURIの検出が動作せず、リクエストが通ってしまうという。

  • 従来のProxyNotShellを使った攻撃手法と、OWASSRFを使った攻撃手法の違い(引用: CrowrdStrike)

    従来のProxyNotShellを使った攻撃手法と、OWASSRFを使った攻撃手法の違い 引用:CrowrdStrike

Microsoftでは、ProxyNotShellに対する恒久的な対策として2022年11月8日に更新プログラム「KB5019758」をリリースしている。この更新プログラムを適用していれば、OWASSRFを使った攻撃も防ぐことができる。CrowrdStrikeでは、可能な限り早くKB5019758を適用するか、できない場合はOWAを無効にすることを推奨している。