未修正のマイクロソフトの脆弱性がどのようにして不注意で漏洩したのか、そしてそれがWindows Serverのセキュリティに何を意味するのか
クリストファー・バッド著
シアトルとシリコンバレーが新型コロナウイルスの影響に見舞われる中、マイクロソフトは火曜日、月例ソフトウェアアップデートの一環として、多数の脆弱性を修正しました。Cisco Talosのセキュリティ研究者によると、今月のアップデートでは117件の脆弱性が修正されました。そのうち25件は「緊急」、91件は「重要」、1件は「中」と評価されています。
しかし、セキュリティ研究者や「Patch Tuesday」のフォロワーにとって目立ったのは、そこにパッチがなかったことだ。
Cisco TalosとFortinetは当初、「CVE-2020-0796」として識別される別の脆弱性に関する情報を公開しましたが、この脆弱性は修正されていませんでした。Ciscoはアドバイザリを更新し、この脆弱性に関する情報を削除しましたが、Twitterのフォロワーはすぐにこの矛盾と修正に気づき、情報を削除しました。コミュニティでは、この脆弱性の性質とリスクについて推測が始まりました。一部の研究者は、この脆弱性をすぐに「SMBGhost」と名付けました。これは、存在するものの目に見えないサーバーメッセージブロックの脆弱性です。
世界中の研究者たちは、これはMicrosoft Server Message Block(SMB)処理における、認証されていないネットワークベースのリモートコード実行の脆弱性であり、システムレベルの権限が付与される可能性があることをすぐに指摘しました。言い換えれば、これはCVE-2017-0144として知られる脆弱性と多くの共通点があります。この脆弱性はEternalBlueエクスプロイトによって攻撃され、後に2017年のWannaCry攻撃とNotPetya攻撃の鍵となりました。少しデジャブなことに、この脆弱性も同年3月に修正されています。
火曜日の後半、マイクロソフトはセキュリティアドバイザリ(ADV200005)を公開しました。このアドバイザリには、未修正の新たな脆弱性に関する詳細と、回避策に関する情報が含まれています。回避策とは、パッチを適用せずに脆弱性を悪用しようとする試みから身を守るための手順です。このアドバイザリはCVE-2020-0796について具体的に言及していませんが、詳細はこの脆弱性に関して公開されたものと一致しており、研究コミュニティはすぐに両者を照合しました。
本稿執筆時点では、パッチは提供されておらず、パッチがいつリリースされるかについての Microsoft からの公式スケジュールもありません。
リスクの評価
「EternalBlue」「WannaCry」「NotPetya」という言葉は、セキュリティチームにとって警鐘を鳴らすには十分です。WannaCryとNotPetyaの攻撃は、2017年に甚大な被害をもたらし、甚大な損害をもたらしました。例えば、WIREDが詳述しているように、MaerskはNotPetyaのせいで数週間にわたる世界的な操業停止と甚大な損失を被りました。EternalBlueのような新たな脆弱性が出現する可能性は、これらの攻撃のいずれか、あるいは両方が再び発生するという懸念を高めています。
さらに、米国では新型コロナウイルスへの対応のため、多くのセキュリティチームと運用チームが在宅勤務をしており、この新たな重大な脆弱性が明らかになったタイミングは特に厳しいものとなっています。そのため、回避策やパッチの適用はさらに困難になっています。
最後に、「トラブルは三度起こる」という格言を証明するかのように、このニュースが報じられたまさにその日、セキュリティ業界は、2週間前にサンフランシスコで開催された年次RSAセキュリティカンファレンスの参加者2人がコロナウイルスの検査で陽性反応を示し、1人が入院したという報道に頭を悩ませていた。
このような背景からすると、この最新の展開は憂慮すべきもののように思えるかもしれない。
しかし、3年前のEternalBlueの状況ほど悲惨ではないことを示す、留意すべき重要な相違点がいくつかあります。
- 公開状況とエクスプロイトコードの状況:EternalBlueとは異なり、この脆弱性はMicrosoftによって発見されたものであり、現在、これを攻撃できる有効なエクスプロイトコードは存在しないことが示唆されています。これは、パッチリリース時点で既に脆弱性を攻撃できるエクスプロイトツールが存在していたEternalBlueの状況とは根本的に異なります。
- 脆弱なシステムの範囲:この脆弱性に関するMicrosoftのセキュリティアドバイザリでは、影響を受けるシステムとしてWindows 10とWindows Serverのバージョン1903および1909のみがリストされています。これはMicrosoftの「新しいほど良い」というセキュリティ戦略にとっては好ましいことではありませんが、EternalBlueの事例と比較すると、脆弱で攻撃を受ける可能性のあるシステムの数は大幅に少なくなっています。
- 回避策が利用可能: 2017年のEternalBlue問題とは異なり、今回も、修正プログラムが適用されるまでシステムを保護するために、すぐに実行できる有効な回避策が存在します。さらに、Microsoftはアドバイザリで「変更後に再起動は不要です」と「回避策を無効にした後も再起動は不要です」と述べています。つまり、システムの再起動によるダウンタイムを発生させることなく、この回避策を実行できるということです。さらに良い点は、この脆弱性は比較的新しい機能であるSMB V3圧縮の処理に起因しているということです。つまり、この回避策の影響も比較的軽微であるということです。
全体として、今回の事態の発生時期は困難であり、一見すると警鐘が鳴る状況ですが、技術的な事実から判断すると、これは危機的状況ではあるものの、悲惨な状況ではありません。最新バージョンのWindows Serverに影響を与えるという事実は、特にクラウドプロバイダーに影響を与える可能性があります。しかし、影響が最小限で、簡単に実装およびロールバックできる回避策が存在するため、組織は直ちにその回避策を実装し、パッチがリリースされるまで維持することが可能であり、またそうすべきです。マイクロソフトは既に、この回避策の実装とロールバックを行うための1行のPowerShellスクリプトを提供しており、在宅勤務のチームでも比較的迅速に広範囲に展開できます。
なぜパッチがリリースされなかったのか、そしていつリリースされるのかは不明です。しかし、朗報があります。組織が今日から自らと他者を守るために実行できる、シンプルで明確かつ具体的な対策があります。新型コロナウイルスとの関連性を考えると、タイミングは良くありませんが、私たち全員が持っている指針はここにも当てはまります。パニックに陥らず、シンプルで賢明な対策を講じることで、自分自身とより広いコミュニティを守ることができます。
