2019年5月14日、マイクロソフトは重大なリモートコード実行の脆弱性(CVE-2019-0708)(英語)に対する修正プログラムをリリースしました。この脆弱性は、すでに「BlueKeep」と呼ばれており、旧バージョンのWindowsに影響を及ぼすリモートデスクトップサービス(旧称:ターミナルサービス)に関係しています。
攻撃者は、CVE-2019-0708を悪用することにより、リモートデスクトッププロトコル(RDP)を実行している脆弱なマシン上でリモートコードを実行する可能性があります。この脆弱性はワームに転用することが可能であり、極めて短時間で世界中に拡散し、数百万ものシステムに危害を加える恐れがあります。
幸いなことに、この脆弱性を確実に悪用できるエクスプロイトの開発は容易ではありません。これまでのところ、一般に利用可能なエクスプロイトコードは出現していませんが、開発は活発に行われていると考えられるので、攻撃者が利用できる形で世に出るのは目前と思われ、すぐにエクスプロイトが利用可能になるでしょう。
安全のため、できるだけ早く全社規模で欠陥を修正するよう管理者に注意喚起します。
CVE-2019-0708は他の脆弱性と何が違うのか?
Blue Keepは、平均的なセキュリティホールと比べるとその危険性は遥かに高く、真剣に受け止めなければなりません。Microsoftの対応がこのことを如実に示しています。修正プログラムは、サポートされているオペレーティングシステムのバージョン(Windows7、Windows Server 2008 R2、Windows Server)に対してだけではありません。WindowsXP、Windows Vista、およびWindows Server 2003にも拡張し適用しているのです。Windows 8および10に関しては、CVE-2019-0708の影響を受けません。
マイクロソフトは、その発表の中で(英語)、2017年に発生した悪名高いWannaCryとNotPetya攻撃(英語)を直接参照しています。どちらも、広く使用されているプロトコル(SMB)の、やはりワーム転用可能な脆弱性を悪用しました。その結果、およそ150カ国の推定20万のシステムに影響を及ぼし、金銭的な損害額は全体で数億ドルにも達しています。
「Blue Keep」の名付け親でもある情報セキュリティの専門家、Kevin Beaumont(ケビン・ボーモン)氏(英語)が現状を以下のようにまとめています。
- 複数のセキュリティ企業が部分的に機能するエクスプロイトを作成したが、当然ながら技術的な詳細は発表していない
- 脆弱性を引き起こす原因を突き止めるために必要なコードと情報(ただしエクスプロイトではない)がオンラインで入手できる
- 一部の詐欺師は偽のエクスプロイトを販売している
- IDS/IPSベンダーは、エクスプロイトを検出する方法を公開している
CVE-2019-0708への対処方法は?
1. 速やかにパッチ適用を開始する
まず、社外に接続されているRDPサーバへのパッチ適用を優先し、ドメインコントローラや管理サーバなどの重要なサーバへと作業を進めます。最後に、RDPが有効になっている重要性の低いサーバに加えて、その他のデスクトップ環境へのパッチを適用します。マイクロソフトのサポートページに、パッチ適用に関する詳細情報が有りますので参照してください。
F-Secure Radarのユーザは、認証スキャンを使用して脆弱なホストを識別することができます。より高速のスキャンを実行するためには:
- スキャンするポートを、以下のホストへの認証に必要なものだけに制限します。TCP445(SMB/CIFS)、TCP135(RPC)、TCP5986(WinRM)
- Windows認証スキャン関連プラグインをアクティブにするには、プラグイン1013880のみを選択します。
2. パッチ適用までの時間稼ぎとしてリスク緩和策を講じる
- ネットワークレベル認証(NLA)を有効にする
NLAを使用して脆弱性を部分的に軽減することができます。NLAを有効にすると、攻撃者はRCEを実行するために、有効な資格情報を得る必要があります。F-Secure Radarのユーザは、プラグイン100612(「RDPに対してネットワークレベル認証は強制されない」)でホストをスキャンすることで、NLAが有効になっていないホストを検出できます。スキャン速度を上げるには、このプラグインだけを使用して影響を受けるホストに狙いを定めてください。 - エンタープライズ境界ファイアウォールでTCPポート3389をブロックする
TCPポート3389は、影響を受けるシステムとの接続を開始するために使用されます。ネットワーク境界レベルにおいて、このポートをファイアウォールでブロックすれば、セキュアなネットワーク内にあるシステムを保護するのに役立ちます。F-Secure Radarのユーザは、ネットワークスキャンを使用して、TCPポート3389が開いていて影響を受けるホストをスキャンできます。より高速にスキャンするために、影響を受けるホストに絞るためにこのポートだけをスキャンしてください。 - 不要の場合はリモートデスクトップサービスを無効にする
現行の環境でこれらのサービスを使う必要がない場合は、無効にすることを検討してください。未使用および不要なサービスを無効にすることで、セキュリティの脆弱性による脅威にさらされる危険性を軽減することができます。これがセキュリティのベストプラクティスです。
カテゴリ