ProxyShell.

ProxyShell は、研究者 Orange Tsai(DEVCORE)が Pwn2Own 2021 で実証し、Black Hat USA で詳細を公開した、Microsoft Exchange Server の 3 つの脆弱性から成る連鎖の名称です。この連鎖は、Client Access Service の Autodiscover 処理における認証前のパス混同/SSRF の欠陥(CVE-2021-34473)、Exchange PowerShell バックエンドの権限昇格の欠陥(CVE-2021-34523)、そして PowerShell のメールボックスエクスポート機能を通じた認証後の任意ファイル書き込み(CVE-2021-31207)を結びつけます。

このエクスプロイトが成立するのは、Exchange のフロントエンドが強力な NT AUTHORITY\SYSTEM のマシンコンテキストを用いてリクエストをバックエンドのエンドポイントへプロキシするためです。攻撃者は細工した Autodiscover URL を密かに送り込むことで、特権ユーザーとして PowerShell バックエンドに到達し、昇格されたトークンを生成し、さらにメールボックスエクスポートを使って web shell を含む PST ファイルをインターネットから到達可能なディレクトリに書き込みます。こうして 3 つの「低深刻度」のバグが、未認証の SYSTEM RCE へと変貌します。紛らわしいことに、CVE-2021-34473 と CVE-2021-34523 は 7 月にアドバイザリが出る前の 2021 年 4 月の累積更新で密かに修正されていたため、多くの管理者は自分が影響を受けていることに気づいていませんでした。

大規模スキャンと .aspx web shell の設置は、2021 年 8 月のアドバイザリ公開から数日以内に始まり、LockFile と Conti のランサムウェアが初期アクセスに悪用しました。防御策:2021 年の累積更新を適用する、Exchange Emergency Mitigation Service を有効化する、予期しない web shell を探索する、そしてオンプレミス Exchange の侵害はパッチ適用より前に発生していると想定することです。

flowchart TD
  A[未認証の攻撃者] --> B[細工した Autodiscover URL<br/>CVE-2021-34473 パス混同/SSRF]
  B --> C[フロントエンドが NT AUTHORITY/SYSTEM として<br/>バックエンドへプロキシ]
  C --> D[Exchange PowerShell バックエンドに到達<br/>CVE-2021-34523 権限昇格]
  D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 任意ファイル書き込み]
  E --> F[.aspx web shell を Web から<br/>到達可能なパスに書き込む]
  F --> G[SYSTEM としてのリモートコード実行]
  G --> H[ランサムウェア / 横展開]