Bleeping Computerはこのほど、「Microsoft: New critical Exchange bug exploited as zero-day」において、Microsoft Exchange Serverのゼロデイの脆弱性が悪用されたとして、注意を呼び掛けた。この脆弱性はMicrosoft内部で発見され「CVE-2024-21410」として追跡されており、悪用されるとリモートの認証されていない攻撃者に特権を昇格されるリスクがある。

Microsoft: New critical Exchange bug exploited as zero-day

○脆弱性「CVE-2024-21410」の概要

Microsoftによると、OutlookのようなNTLMクライアントからNTLM資格情報を窃取した攻撃者は、この脆弱性を悪用することでExchangeサーバを中継してクライアントの特権を昇格させ、Exchangeサーバ上で操作を実行可能になるという。

このような攻撃は一般的にNTLMリレー攻撃と呼ばれており、何らかの方法で窃取したNTLM資格情報(チャレンジレスポンス)を本来のクライアントに代わって認証する攻撃手法とされる。今回発見された脆弱性は場合、窃取したNTLM資格情報(Net-NTLMv2ハッシュ)を脆弱なExchangeサーバにリレーすることで、そのユーザーとして認証させることができるという。

○脆弱性への対策

この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Microsoftは2月13日(14日に更新)(米国時間)、「CVE-2024-21410 - Security Update Guide - Microsoft - Microsoft Exchange Server Elevation of Privilege Vulnerability」において、脆弱性を修正するアップデートを公開した。Microsoft Exchange Serverを運用する管理者は、影響を確認して速やかにアップデートすることが望まれている。

なお、Microsoft Exchange Server 2019累積アップデート14(CU14)を適用すると、デフォルトでNTLM資格情報のリレー保護(EPA: Extended Protection for Authentication)が有効になり、この脆弱性から保護される。

Microsoft Exchange Server 2016を運用している場合は、NTLM資格情報のリレー保護(EPA)を有効化するスクリプトが提供されている。Microsoftはこのスクリプトを使用する前に、最新のセキュリティ更新プログラムを適用することを強く推奨している。その上で「Exchange Server support for Windows Extended Protection | Microsoft Learn」を参照し、スクリプト「ExchangeExtendedProtectionManagement - Microsoft - CSS-Exchange」を使用してNTLM資格情報のリレー保護(EPA)を有効化することが推奨されている。

現在の環境で保護が有効になっているか確認するために、Microsoftは「HealthChecker - Microsoft - CSS-Exchange」を公開している。このスクリプトを使用することで、Microsoft Exchange Serverの拡張保護ステータスの概要を確認可能。