エクスプロイト&脆弱性
「BlueKeep」脆弱性を利用する攻撃・続報
11月12日の本ブログ記事にて、脆弱性「CVE-2019-0708」(通称「BlueKeep」)を利用する攻撃が初確認されたことについて述べました。本記事ではその続報をまとめます。BlueKeep脆弱性に対する修正プログラムは既に5月に公開されています。自身の管理する環境における更新の有無を再確認し、まだ適用していない環境では直ちに更新を行うことを強く推奨いたします。
11月12日の本ブログ記事にて、脆弱性「CVE-2019-0708」(通称「BlueKeep」)を利用する攻撃が初確認されたことについて述べました。本記事ではその続報をまとめます。確認された攻撃では、最終的なペイロードとして感染コンピュータにコインマイナーをインストールし不正マイニングを実行するものでした。脆弱性を放置することは直接の被害に繋がります。BlueKeep脆弱性に対する修正プログラムは既に5月に公開されています。自身の管理する環境における更新の有無を再確認し、まだ適用していない環境では直ちに更新を行うことを強く推奨いたします。
2019年11月上旬、BlueKeep脆弱性を利用する攻撃の存在が初めて確認されました。これを受けたMicrosoftが一連の事例を調査した結果、この攻撃は実際には9月ころから始まっていた可能性が高いことがわかりました。これにより、攻撃が今後も継続される懸念から警告が発表されました。
この攻撃が発見された要因はリサーチャーが用意したハニーポットがクラッシュし再起動を繰り返したことでした。この攻撃で使用された「BlueKeep」脆弱性の攻撃コード(エクスプロイト)は攻撃者の意図しないBSODによるクラッシュを引き起こし続けることがある、不安定なものでした。システムがクラッシュを繰り返す場合、BlueKeep脆弱性の攻撃を受けている可能性を考慮すべきです。
BSODエラーが引き起こされた理由は、「BlueKeep」脆弱性を利用するエクスプロイトが、Intel CPUの脆弱性「Meltdown」に対処するためにMicrosoftが公開した更新プログラムと互換性がないからであると考えられています。現在、「BlueKeep」脆弱性を利用するエクスプロイトを更新し、「Meltdown」用の更新プログラムが適用されたカーネルをサポートするという計画があります。これは脆弱性対策の意味からは重要なことですが、エクスプロイトが攻撃者によって悪用される確率も高まることを意味します。
さらなる調査により、この「BlueKeep」脆弱性の悪用の試みには「ネットワークへの侵入を図る人間の攻撃者が絡んでいる」ことが明らかになりました。 攻撃者は脆弱なコンピュータを見つけるため、手動でポートスキャンを実行している可能性が高い、と推測されています。同時に、マルウェア自体が自己拡散(ワーム)機能を有していないことも確認されました。2019年9月に「BlueKeep」脆弱性を利用するエクスプロイトが最初に登場したとき、多くのリサーチャーは新たなワームの登場を懸念していましたが、その懸念は払しょくされました。
しかし、「BlueKeep」脆弱性について言えば、「ワーム化機能」が最も懸念されるべき問題というわけではありません。真の懸念は、サーバが侵害されネットワーク内で感染拡大されることです。「BlueKeep」脆弱性に未対応のデバイスの多くはサーバであるという調査があります。Windowsサーバは通常、ネットワーク上で他のデバイスを制御し、それらはドメイン管理あるいはネットワーク管理ツールがインストールされている、または、ネットワークにつながる他のデバイスと同じローカル管理者の認証情報を共有する存在です。脆弱性を利用した攻撃によりサーバが侵害された場合、攻撃者はネットワーク内で攻撃を拡大することが容易になります。
残念なことに、実際に「BlueKeep」脆弱性を利用する攻撃の報告があったにも関わらず、更新プログラムの適用はまだ進んでいないようです。セキュリティ企業SANS Instituteの研究者は、「Shodan」を利用して更新プログラムの適用率を追跡しており、2019年5月以降は適用率が低下していると報告しています。本ブログも含め、最近の「BlueKeep」脆弱性を利用する攻撃の注意喚起は、状況を改善する要因になっていないと言えます。外部からの侵入口として、ネットワーク内での感染拡大手法として、BlueKeep脆弱性が利用される可能性があります。脆弱性を利用する攻撃は、その脆弱性が存在しない環境に対しては無効です。速やかな更新プログラムの適用を推奨します。
■被害に遭わないためには
- 最新の更新プログラムを適用してシステムを最新の状態に保つ。古くなったレガシーシステムまたはサポートが終了したシステムには、正規ベンダーから提供される仮想パッチを利用する。
- リモートデスクトップサービスの使用を制限する、あるいは保護する。 たとえば、ポート3389をブロックする(または、使用しない場合は無効にする)ことによって、ファイアウォールで守られたシステムへ接続される脅威を防ぐことができます。
- ネットワークレベル認証(NLA)を有効にして、認証されていない攻撃者によって「BlueKeep」脆弱性が悪用されないようにします。 これは、Windows 7およびWindows Server 2008(R2バージョンを含む)で設定できます。
- 侵入に利用される可能性のあるアクセスの許可や、ツールへのアクセス、またプログラミング技術を制限し、最小特権の原則を採用する。暗号化、ロックアウトポリシー、その他役割に基づくアクセス制御などのセキュリティルールを適用して、リモートデスクトップの侵害を伴う攻撃に対するセキュリティ層を強化する。
- ■トレンドマイクロの対策
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」や総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールによってこの脆弱性を利用する攻撃を検出します。
- 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability
ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterによりこの脆弱性を利用する攻撃を検出します。
- 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP
参考記事:
- 「BlueKeep Exploit Will Get an Update Following Recent Attacks」 By Trend Micro
翻訳:室賀 美和(Core Technology Marketing, Trend Micro™ Research)