エクスプロイト&脆弱性
SMBv3の脆弱性(CVE-2020-0796)とマイクロソフト2020年3月の月例更新プログラムを解説
日本時間2020年3月13日、Windowsの通信プロトコル「Server Message Block(SMBv3)」に存在する脆弱性(CVE-2020-0796)の更新プログラムが新たに公開されました。
日本時間2020年3月13日、Windowsの通信プロトコル「Server Message Block(SMBv3)」に存在する脆弱性(CVE-2020-0796)の更新プログラムが新たに公開されました。この脆弱性は、昨年確認された「Bluekeep」脆弱性(CVE-2019-0708)同様、WannaCryのような拡散力を持つネットワークワームの登場に繋がる危険性が高いとみなされており、深刻度も「緊急」に分類されています。ただし、Microsoft社が日本時間2020年3月11日に公開した2020年3月の月例セキュリティ更新プログラムには当初含まれておらず、13日に定例外として公開されました。
その3月の月例セキュリティ更新プログラムでは、特に26件の脆弱性が、リモートコード実行(RCE)に悪用される可能性から深刻度「緊急」に分類されています。これらの脆弱性では、修正前に悪用された被害事例は確認されていません。また、修正された脆弱性のうち、7件はトレンドマイクロ運営のZDI(Zero Day Initiative)により発見、公表されました。
本ブログ記事ではこれらの更新された脆弱性から特に注目すべきものとして、SMBv3の脆弱性に加え、「LNK のリモートでコードが実行される脆弱性(CVE-2020-0684)」および「Microsoft Word のリモートでコードが実行される脆弱性(CVE-2020-0852)」について解説します。
■SMBv3関連の脆弱性
脆弱性「CVE-2020-0796」は、SMBv3プロトコルによる特定リクエストの処理プロセスに存在し、SMBv3圧縮をサポートしたWindows10など最新OSが影響を受けます。この最新OSが影響を受けるという点で、WannaCryが脆弱性を利用したSMBv1が20年前から利用されている古いプロトコルであったこととは異なる点と言えます。
脆弱性の悪用方法として、サーバの場合、攻撃者が特別に細工したパケットを標的のサーバへ送信することで攻撃が可能です。クライアントの場合は、不正なサーバへ接続することで同様の脆弱性悪用の可能性があります。いずれの場合も、この脆弱性を悪用することで、標的にした端末上でのリモートコード実行(RCE)の恐れがあります。既に概念実証(Proof of Concept、PoC )などで公開されているものもあるため、実際の攻撃で利用される可能性も高まっており、優先して修正を行うことが推奨されます。
■ LNKファイル関連の脆弱性
脆弱性「CVE-2020-0684」はリモートでのコード実行(RCE)に関する脆弱性であり、特別に細工されたLNKファイルで処理すると、攻撃者によりリモートコード実行の可能性があります。LNKファイル関連の脆弱性はこれまでも多数報道されており、今回も注目されました。この脆弱性が悪用されると、攻撃者にローカルのユーザと同様のユーザ権限を取得できます。このタイプの攻撃を受けると、被害者はシステムおよび個々のコンポーネントの制御を失い、機密情報窃取の可能性があります。2020年2月の月例更新プログラムでも、別のLNKファイルの脆弱性に対する修正対応が含まれていたことは注目に値します。
■ Microsoft Word関連の脆弱性
月例更新プログラムでは、さまざまなMicrosoft Office関連製品の脆弱性が取り上げられています。その中でも脆弱性「CVE-2020-0852」は、Microsoft Wordに存在し、プレビューウィンドウで特別に細工されたファイルの表示だけで悪用される点が際立っています。このため、脆弱性悪用の可能性が高くなる点が懸念されます。脆弱性が悪用されると、攻撃者は、ログインしているユーザと同じレベルのアクセス権限が取得できます。
■トレンドマイクロの対策
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™ 」、総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールにより本記事内で挙げた脆弱性を利用する攻撃を検出します。
- 1010186 – Microsoft Internet Explorer VBScript Remote Code Execution Vulnerability (CVE-2020-0824)
- 1010187 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2020-0832)
- 1010188 – Microsoft Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2020-0833)
- 1010189 – Microsoft Internet Explorer VBScript Remote Code Execution Vulnerability (CVE-2020-0847)
- 1010192 – Microsoft Windows SMBv3 Remote Code Execution Vulnerability
ネットワーク脅威防御ソリューション「Trend Micro™ TippingPoint® 」では、以下のMainlineDV filter により本記事内で挙げた脆弱性を利用する攻撃を検出します。
- 37268: HTTP: Microsoft Internet Explorer Remote Code Execution Vulnerability
- 37269: HTTP: Microsoft Scripting Engine Memory Corruption Vulnerability
- 37270: HTTP: Microsoft Windows Script Engine Memory Corruption Vulnerability
- 37271: HTTP: Microsoft Windows ADO Memory Corruption Vulnerability
- 37290: SMB: Microsoft Windows SMBv3 Client/Server Buffer Overflow Vulnerability
参考記事:
- 「 March Patch Tuesday: LNK, Microsoft Word Vulnerabilities Get Fixes, SMBv3 Patch Follows 」
by Trend Micro
記事構成:岡本勝之(セキュリティエバンジェリスト)
翻訳: 与那城 務(Core Technology Marketing, Trend Micro™ Research)