2019/05/28

BlueKeep は EternalBlue より深刻か?

2019 年 5 月 28 日 Trevor Collins 著

Microsoft は今月、同社の複数のサーバの RDS(リモートデスクトップサービス)、別名ターミナルサービスを標的とする新しい重大な脆弱性、CVE-2019-0708(別名:BlueKeep)の修正プログラムを公開しました。RDS/RDP(リモートデスクトッププロトコル)を使っている組織は非常に多く、さらには、利用しているサイトはインターネットに公開されているため、この脆弱性は、Eternal Blue より深刻な被害につながる可能性があり、2017 年の WannaCry と同様の被害をもたらす恐れがあります。Eternal Blue は、多くのドメインで無効になっている、古いバージョンの SMB ファイル共有プロトコルを標的にしていましたが、今回の脆弱性は、多くの企業で広く利用されているプロトコルを標的としています。

現段階で、以下のことがわかっています。

  • この脆弱性によって、RDS が有効になっているコンピュータで、認証を必要とすることなくコードを実行でき、この属性によって、ワームの作成が可能になります。
  • この脆弱性は、Microsoft の古いバージョンの Windows と Windows Server、具体的には、Windows XP から 7 と Windows Server 2003 から 2008 R2 にのみ影響するものです。Microsoft は、これらの影響を受けるすべてのバージョン(Windows Server 2003 および Windows XP も含む)の更新プログラムを発表しました。Windows Server 2003 と Windows XP については、このリンクを参照してください。
  • 最新の Windows Update でデバイスに修正プログラムが適用されていれば、デバイスがこの脆弱性の影響を受けることはありません。何らかの理由ですぐにはパッチを適用できない場合は、ネットワークレベル認証がこの脆弱性のエクスプロイトを防ぐ 1 つの方法です。最低限の対策として、サーバやワークステーションへの外部 RDP アクセスをブロックして、VPN やローカルアクセスを代わりに使用し、修正プログラムを適用した場合も、ネットワークの外部からローカルコンピュータに RDP を使用する場合は、必ず VPN を使用するようお勧めします。

Microsoft には、この脆弱性の発表までに修正プログラムを作成する時間があったため、Eternal Blue の時と同じような深刻な被害が発生することはないと考えられます。ただし、これはシステム管理者がサーバに速やかに修正プログラムを適用した場合であり、サーバへの修正プログラムの適用が遅れると、業務用サーバのほとんどで RDS が使われていることから、この脆弱性によって、Eternal Blue より大きな金銭的損失を被る可能性があります。Windows XP と Windows Server 2003 の修正プログラムを公開し、この脆弱性と WannaCry を比較したブログ記事ブログ記事ブログ記事を発表したことから、Microsoft もこれと同じ考えであるのは明らかです。この脆弱性については、こちらのポッドキャストで詳しく解説していますので、ご視聴ください。
(※文中リンクはすべて英語)