【活用ガイド】

JVNDB-2019-001210

Microsoft Exchange 2013 およびそれ以降における NTLM 中継攻撃が可能な脆弱性

概要

Microsoft Exchange 2013 およびそれ以降では、HTTP を介した NTLM 認証で Sign フラグおよび Seal フラグを設定しておらず、NTLM 認証中継攻撃によって Exchange サーバの管理者権限を取得される可能性があります。

Microsoft Exchange は Exchange Web Services (EWS) と呼ばれる API をサポートしており、そのなかの PushSubscriptionRequest を使うと Exchange サーバを任意の web サイトに接続させることが可能です。PushSubscriptionRequest で登録された web サイトへの接続では NTLM 認証が行われます。

Exchange 2013 およびそれ以降では、HTTP を介した NTLM 認証で NTLM Sign フラグおよび Seal フラグが設定されていません。署名が行われていないため NTLM 認証データを中継することによる攻撃が可能です。

Microsoft Exchange は、初期設定において Active Directory ドメイン内のオブジェクトに対し大きな権限を持っています。また、Exchange Windows Permissions グループにはオブジェクトへの WriteDacl 権限が許可されています。このことから、本脆弱性を悪用して Exchange サーバの権限を取得されることで、さらに Domain Admin 権限を取得される可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.8 (重要) [JPCERT/CC値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 8.3 (危険) [JPCERT/CC値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


マイクロソフト
  • Microsoft Exchange 2013 およびそれ以降

想定される影響

Exchange のメールボックスアカウントを持ち、Exchange サーバおよび Windows ドメインコントローラと通信できるユーザにより、ドメインの管理者権限を取得される可能性があります。
また、Exchange メールボックスアカウントのパスワードを知らなくても、Exchange サーバと同じセグメントに接続していれば NTLM 認証データを中継する攻撃は可能であると報告されています。
対策

[アップデートする]
Microsoft からアップデートが公開されています。本アップデートによって、Exchange サーバが PushSubscriptionRequest 呼び出しにより web サイトに接続する際、NTLM 認証を行わないようになります。

本脆弱性への修正を含む Exchange のバージョンは次のとおりです。

Exchange Server 2010 Service Pack 3 Update Rollup 26
Exchange Server 2013 Cumulative Update 22
Exchange Server 2016 Cumulative Update 12
Exchange Server 2019 Cumulative Update 1

本アップデートには CVE-2019-0724 の修正も含まれており、Exchange サーバにインストール時に付与された複数の不要な特権が削除されます。

また、次のワークアラウンドを検討してください。

[EWS サブスクリプション機能を無効にする]
EWS サブスクリプション機能が不要な場合は、Exchange 管理シェルで次のコマンドを実行することで、PushSubscriptionRequest API 呼び出しをブロックできます。
"New-ThrottlingPolicy -Name NoEWSSubscription
-ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
Restart-WebAppPool -Name MSExchangeServicesAppPool"

[Exchange がドメイン内のオブジェクトに対して持つ権限を削除する]
Active Directory ドメイン内の脆弱なアクセス制御エントリのチェックや、Exchange が Active Directory ドメイン内のオブジェクトへの書き込みを行う権限の削除を行う powershell スクリプト Fix-DomainObjectDACL.ps1 が公開されています。
ただし、これは CERT/CC が作成したものではなく、Microsoft のサポートもないことに注意してください。
このワークアラウンドを実施する場合は、あらかじめ十分なテストを行い、正しく機能することを確認してください。

[追加のワークアラウンドを検討する]
本脆弱性に関するブログ「Abusing Exchange: One API call away from Domain Admin」には、本脆弱性や同様の脆弱性からの保護に役立つ可能性のある、いくつかのワークアラウンドが含まれています。
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2019-0686
参考情報

  1. JVN : JVNVU#97449410
  2. National Vulnerability Database (NVD) : CVE-2019-0686
  3. US-CERT Vulnerability Note : VU#465632
  4. 関連文書 : Abusing Exchange: One API call away from Domain Admin
  5. 関連文書 : An Insincere Form of Flattery: Impersonating Users on Microsoft Exchange
  6. 関連文書 : PushSubscription Class
  7. 関連文書 : Exchange Web Services (EWS) in Exchange 2010
  8. 関連文書 : 3.4.2 Message Integrity
  9. 関連文書 : 3.4.3 Message Confidentiality
更新履歴

  • [2019年01月30日]
      掲載
  • [2019年02月05日]
      概要:内容を更新
      対策:内容を更新
      参考情報:Common Vulnerabilities and Exposures (CVE)(CVE-2019-0686) を追加
  • [2019年02月07日]
      ベンダ情報:Microsoft Security Advisory (ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability) を追加
  • [2019年02月22日]
      対策:内容を更新
      ベンダ情報:Microsoft Security Advisory (ADV190007 | "PrivExchange" の特権の昇格の脆弱性に関するガイダンス) を追加
      ベンダ情報:Security Update Guide (CVE-2019-0686 | Microsoft Exchange Server Elevation of Privilege Vulnerability) を追加
      ベンダ情報:セキュリティ更新プログラムガイド (CVE-2019-0686 | Microsoft Exchange Server の特権の昇格の脆弱性) を追加
  • [2019年09月27日]
      参考情報:National Vulnerability Database (NVD) (CVE-2019-0686) を追加