先日公開されたSMBv3 の脆弱性 (CVE-2020-0796) について:事実とハイライト

直近のMicrosoft更新プログラム公開で偶然にもあきらかになったSMBv3.1.1の脆弱性のニュースに、ハイテク業界の方々は大いに驚かされたことだろう。この「リモートコード実行の脆弱性(CVE-2020-0796)」は、現在のところまだ正式なパッチは出ておらず、ワークアラウンドでの対応となっている。
今回公開されたSMBv3の脆弱性は、古いバージョンのSMBプロトコル(SMBv1)の欠陥をついておこった、近年のWannaCryやNotPetyaといったマルウェア攻撃の影響を鑑みると、非常に重大な問題だと考えられる。
SMBv3は、共有されたファイル、プリンター、ネットワーク上のリソースにアクセスするためのServer Message Block(SMB)プロトコルの、最新で最もセキュアなバージョンだ。
今回新しく発見された欠陥を悪用したハッキングやマルウェアは、今日まではまだ報告されていない。
Microsoftは今週火曜日、新たに見つかった複数のWindowsシステムの脆弱性に対応するため、いつものように更新プログラムを公開したが、このSMBv3の脆弱性への対応は含まれていなかった。一方で、Cisco TalosやFortinetは、「CVE-2020-0796」という名の脆弱性を公開した(パッチなし)。この情報はすぐに削除されたが、まったく人目に付かなかったわけではなかったため、Microsoftは同日中に注意喚起を行った。

影響を受けるシステムは?


ARM64、Windows 32及び64-bit edition、 Windows 10 (1903 及び 1909)、Windows Server (versions 1903 及び 1909).

何が問題なのか?


この欠陥の問題は、ハッカーが悪意のある圧縮データのパケットを使って、「ワーム」タイプの攻撃をクライアントとサーバーに行うことができてしまうことだと言われている。このSMBの脆弱性があると、認証されていないユーザー(攻撃者)でも、アプリケーションの一部としてどんなコードでも動かせるようになってしまう。
Microsoftの注意喚起では以下のように伝えている。
「この脆弱性を悪用する手法としては、攻撃者(認証されていないユーザー)が、標的とするSMBv3サーバーへ悪意のあるデータパケットを送ることが考えられる。また、SMBクライアントに対してこの脆弱性を悪用する手法としては、攻撃者が「悪意のあるSMBv3サーバー」を設定し、そこへユーザーを接続させる必要がある」
また、この攻撃は「ワーム」タイプであるため、攻撃されたシステムは、マルウェアを他のシステムへと感染させる恐れがある。

対策は?


Microsoftはまだ本件の対応パッチを出していないが、Windowsシステムを保護する対策がいくつかある。
1. 以下のPowerShellコマンドをつかって、データ圧縮機能を無効にする:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

2. TCPの445ポートをブロックして、周辺のファイアウォールがマルウェアに感染しないようにする。

現在では、SMBv1プロトコルは使用されておらず、新しいWindowsシステムでは最新のSMBv3に置き換わっている。
Microsoftからの正式パッチリリースは、まもなく行われるとのことだが、Visuality SystemsのSMBv3対応製品は、このCVE-2020-0796の脆弱性の影響を受けないことを確認している。

NQ™を試してみる


NQ™の評価をご希望の方は、弊社担当よりご連絡いたします。 右のフォーマットにご記入の上、送信ボタン「GET THE PRODUCT」をクリックしてください。