threat-research

CVE-2019-0708: リモートデスクトッププロトコルおよびリモートコード実行 #Bluekeep

Microsoftは、「Patch Tuesday」と呼ばれている月例パッチ公開日である2019年5月14日に、一連の更新プログラムを発表しました。CVE-2019-0708は、一見すると同時に発表された他の更新プログラムと類似するもので、影響(リモートコード実行)、重要度(Critical:重要)、および影響を受けるプラットフォーム(複数)を含む、更新プログラムの概要が説明されていました。

しかしながら、この脆弱性の影響を受ける製品として記載されていたプラットフォームの中に、Microsoftの以下のサポート終了製品が含まれていたために、セキュリティ業界の関係者の注目を集めることになりました。

Windows XP SP3 x86、Windows XP Professional x64 Edition SP2、Windows XP Embedded SP3 x86、Windows Server 2003 SP2 x86、Windows Server 2003 x64 Edition SP2

Windows XPのサポートは2014年4月8日に終了し、Windows Server 2003のサポートは2015年7月14日に終了しています。

さらには、Microsoftによる脆弱性の解説によると、この修正プログラムの対象となる脆弱性は、「ユーザー認証が行われる前に実行され、悪用時にはユーザーの操作を必要としない」とされており、Microsoftによると、「ワーム」、すなわち、ある脆弱なコンピュータから別の脆弱なコンピュータへと拡散する可能性のある、2017年のWannaCryマルウェアに似た特性を持っています。

この脆弱性は、ユーザー認証が行われる前に実行され、悪用時にはユーザーの操作を必要としません。攻撃者がこの脆弱性の悪用に成功すると、標的となるシステムで任意のコードが実行されてしまう恐れがあり、攻撃者がさらにプログラムをインストールして、データを表示、変更、削除したり、すべてのユーザー権限を持つ新しいアカウントを作成したりする可能性もあります。

この脆弱性を悪用するには、攻撃者は特別に細工した要求をRDP経由で標的となるシステムのリモートデスクトップサービス(RDP)に送信する必要があります。

この脆弱性は、サポートを終了したシステムだけを対象にするもののようですが、実際にはWindows XPやWindows Server 2003が動作するレガシーマシンは未だ数千万台も存在し、その多くはインターネットに接続されています。たとえば、2001年に発表されたWindows XPは、3.57%の市場シェアを今でも占めています。この脆弱性が標的にしているのは、このように18年も前に発表されたオペレーティングシステムであり、これらのプラットフォームを利用している組織にとって重大なリスクであるだけでなく、この脆弱性によってワームに似た特性を持つ攻撃が可能になり、この脆弱性が存在するデバイスが今も数多くビジネスクリティカルな環境で利用されている可能性があることを考えれば、業界全体にとって影響が小さいと断言することはできません。

マシンのアップデートとパッチの適用は、さまざまな理由から多くの組織にとって簡単な作業ではありません。非効率性、人材不足、あるいは単純ミスなどの理由によって、これらのレガシーシステムが今も利用されている可能性がありますが、システムの入れ替えや更新が困難な切実な理由があって、Windows XP、Windows Server 2003、あるいはその他の影響を受けるオペレーティングシステムを利用している組織も少なくありません。たとえば、オフラインにするのが難しいクリティカルサービス(たとえばOTシステム)を実行中という場合もあるでしょう。

さらに状況を複雑にしているのが、多くのネットワークに存在する、システム管理者さえも認識していないデバイスの存在です。そのようなデバイスは正規の手順を踏まずにネットワークに接続されたために、文書に記録されなかったり、研究施設に設置されていたり、あるいは開発用マシンやセンサーとして利用されており、結果としてその存在が忘れられたり見逃されてしまっているのです。

しかしながら、デバイスが存在する場所や理由にかかわらず、たとえばRDP(Remote Desktop Protocol)がSamSamランサムウェアのインストールに利用された例や、いくつもの総当たり方式や盗まれた認証情報を使った攻撃でもそうだったように、管理者が認識していないデバイスが悪用される例は数多く存在し、今回発表された脆弱性の場合は、ユーザーによる操作が不要であるという点で極めて重大な問題であると考えられます。


減災

FortiGuard Labsチームは、この脆弱性の影響を受けるすべてのコンピュータに、Microsoftから公開されたCVE-2019-0708の最新の更新プログラムを速やかに適用し、可能であればRDPを完全に無効にすることをお勧めします。

FortiGuard Labsからも、Microsoftから発表されたこの最新の脆弱性に対応するIPSシグネチャである「MS.Windows.RDP.CVE-2019-0708.Remote.Code.Execution」が、IPS定義14.618で発表されています。

フォーティネットでは、この脆弱性に関する経過を今後も注意深く監視し、本ブログで最新情報を随時お知らせする予定です。

この問題の詳細は、フォーティネットが参加するCyber Threat Allianceの他の参加メンバーに、お客様の保護の強化を目的としてリアルタイムで共有されました。今回の発表に関連する、Cyber Threat Allianceの参加メンバー全社の協力に対し、心より感謝の意を表します。

FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英文)を毎週お届けしています。ぜひご購読ください。セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。