threat-research

Microsoftが公開した2020年1月のセキュリティ更新プログラムでCVE-2020-0601を解決する

Microsoftの2020年1月のセキュリティ更新プログラム(通称「Patch Tuesday」)が、1月14日に公開されました。前日の13日(月)には、ある注目度の高い脆弱性が今回の月例パッチ公開日の更新プログラムで解決されるのではないかというツイートが多数投稿されました。この月例の更新プログラムで、Microsoftは50のCVEを解決しましたが、大きな注目を集めていた脆弱性:CVE-2020-0601(Windows CryptoAPIのなりすましの脆弱性)も修正されました。


CVE-2020-0601の詳細

米国国家安全保障局(NSA)によって最初に発見され、Microsoftに報告されたCVE-2020-0601は、WindowsのCryptoAPI(Crypt32.dll)によるElliptic Curve Cryptography(ECC)証明書の検証に存在する、スプーフィング(なりすまし)の脆弱性です。この脆弱性によって、スプーフィングしたコードで署名した証明書による、不正な実行可能ファイルへの署名が可能になるため、マルウェアを信頼できる配布元からのものであるかのように装うことができます。これが重大な意味を持つのは、Windowsにおいてこの証明書が正規のものでありチェーンが正しいものであるように見えるため、信頼された署名済ファイルのホワイトリストに登録にされ、結果としてAVエンドポイントやその他のテクノロジによるソリューションを回避できてしまうためです。

この脆弱性によって、中間者攻撃やこの脆弱性の影響を受けるソフトウェアの機密情報の復号が可能になります。この脆弱性を実際に悪用した攻撃は今のところ報告されていませんが、火曜日の月例パッチ公開日の発表によって、公開されたパッチのリバースエンジニアリングを直ちに開始できることから、情報セキュリティのコミュニティで「Exploit Wednesday(エクスプロイトの水曜日)」と呼ばれている翌日の水曜日には、エクスプロイトが確認されるようになる可能性が多いにあります。また、高度な知識を持つサイバー犯罪者であれば、脆弱性の公開からパッチの適用までの期間を最大限に活用するため、この脆弱性のエクスプロイトをできるだけ早く開始しようと考えるはずです。そのため、このエクスプロイトの第一波を回避するために、ユーザーや組織はパッチの適用に最優先で取り組み、この脆弱性を解決する必要があります。

この脆弱性の影響を受けるのは、Windows 10、Windows Server 2016、Windows Server 2019のプラットフォームです。この件に対する減災方法に関しては、自動更新がオフになっている場合、今月の更新プログラムをできるだけ早く適用することを強くお勧めします。


フォーティネットの対応

MicrosoftとNSAの発表の直後から、最新の定義セット(15.757)を実行しているフォーティネットのお客様は、以下のIPSシグネチャでCVE-2020-0601による保護が開始しています。

MS.Windows.CryptoAPI.ECC.Certificate.Spoofing

関連する更新プログラムが公開された場合は、引き続きこのブログを更新する予定です。本件の詳細やガイダンスについては、NSAのPatch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers(Microsoft Windowsのクライアントとサーバーにおける重大な暗号化脆弱性へのパッチの適用)勧告(英文)を参照してください。


FortiGuard Labsが統合AIシステムを使用して提供する、比類ないセキュリティおよびインテリジェンスサービスの詳細をご確認ください。

FortiGuardセキュリティサービスのポートフォリオの詳細をご覧いただき、毎週お届けしている脅威インテリジェンスブリーフ(英文)をぜひご購読ください。

FortiGuardセキュリティレーティングサービスは、セキュリティ監査とベストプラクティスを提供することで、お客様に最適なセキュリティ態勢の設計、実装、維持を支援します。

Edge services are today's latest target