米政府がBlueKeep脆弱性を利用したハッキングを実証、Windows 7以前へのパッチ導入待ったなし

米国土安全保障省のサイバーセキュティー部門であるCISAは、BlueKeep脆弱性を利用したハッキングの実験を行い、対象となるデバイスでリモートコード実行ができることを確認した。BlueKeepは旧版WindowsのRemote Desktop Protocol(RDP)のバグを利用した極めて危険な脆弱性だ。

現在、民間機関での研究ではBlueKeepを利用してDoS攻撃ができることが実証されている。つまり狙ったコンピュータをクラッシュさせてしまうわけだ。しかしBlueKeepはそれよりはるかに悪質なリモートコード実行に利用できることが確実だった。そうなれば2017年に世界を大混乱に陥れたWannaCryランサムウェアの再来となる。

CISA(Cybersecurity and Infrastructure Security Agency)は6月17日に発した警告で、BlueKeepを利用してWindows 2000を搭載したコンピュータ上のコードを遠隔で実行できることを確認した。

Windows 2000はMicrosoft(マイクロソフト)が発表した脆弱性対策には含まれていないが、CISAの広報担当者によれば「我々は外部の関係者と協力してこの脆弱性を調査している」ということだ。TechCrunchはマイクロソフトにコメントを求めている。

リモートコード実行が可能なマルウェアはまだ現実には使われていない。しかしCISAがアラートを出した以上、同じ効果をもつマルウェアをハッカーが近く作り出せることが確実だ。

マイクロソフトと米政府機関は先月末からBlueKeep脆弱性へのパッチ適用を強く勧告してきた。

BlueKeep(CVE-2019-0708)はWindows 7およびそれ以前のWindowsコンピュータのリモートデスクトップサービスのクリティカル評価のバグで、パソコンだけでなくサーバーにも影響する。ユーザー認証以前に実行可能なので攻撃者はログインの必要がない。攻撃が成功すればデータを盗み出すだけでなく、システム管理者の特権を得ることも可能だ。またワーム化できるので、1台が乗っ取られば同一のネットワークに接続しているすべてのコンピュータに伝染する。

Microsoftは先月末、サポート終了のOSに対してパッチを発行するという異例の措置を取った。しかし100万台ものコンピュータが無防備な状態におかれているという。英国のセキュリティ専門家であるKevin Beaumont氏のツイートによれば 「マルウェアがひとたび組織のファイアウォール内のパソコンに入り込むことに成功すれば被害規模は桁違いに拡大する」という。

NSAは秘密主義で知られるこの組織としては異例の警告を公表し、「脅威が著しく増大している」と述べ、ユーザーにパッチの適用を強く勧告していた。

万一パッチしていないなら今こそすべきだ。

【Japan編集部追記】CISAによれば、影響を受けるシステムは次のとおり。PC向けOSは、Windows 2000、Windows、Vista、Windows XP、Windows 7。サーバー向けOSは、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2。

原文へ

滑川海彦@Facebook

マイクロソフトは伝染性BlueKeepバグへのパッチ適用を勧告

マイクロソフトは、今月2度目の勧告を出し、システムをアップデートしてWannaCryに類似した攻撃の再発を防ぐことをユーザーに促した。

同社は米国時間の5月30日に、最近発見された「ワームの侵入を可能にする」Remote Desktop Services for Windowsの脆弱性により、攻撃者は未対策のコンピュータ上でコードを実行できる可能性があることを明らかにした。そのコードとしては、マルウェアやランサムウェアなども含まれる。さらに悪いことに、この脆弱性は同じネットワーク上の他のコンピュータへの感染も許してしまう。これは、2017年に世界中に広がって、何十億ドル(何千億円)もの被害をもたらした「WannaCryマルウェアと同じような方法」によるもの。

これに対するパッチは、5月のはじめ、米国時間の毎月第2火曜日の「Patch Tuesday」と呼ばれる通常の日程ですでにリリースされている。今のところ実際の攻撃の形跡は観測されていないものの、同社は「まだ危険な領域を抜け出したと言えるような状況ではありません」と述べている。

マイクロソフトによれば、この脆弱性を悪用する方法があることは「確実」で、それにより、インターネットに直接接続されている100万台近いコンピュータが危険にさらされることになるという。

ただし、もしエンタープライズのファイアウォールレベルのサーバーが攻撃を受けるようなことになれば、その数ははるかに多くなる可能性がある。サーバーに接続されているすべてのコンピュータに感染が拡がる可能性があるからだ。

「私たちが推奨することはいつも同じです。該当するすべてのシステムを、できるだけ早くアップデートすることを強く勧告します」と、マイクロソフトは述べている。

このバグは、CVE-2019-0708のことで、BlueKeepという名で知られている。Windows XP以降(サーバー用OSを含む)を実行しているコンピュータが影響を受ける「危機的」な脆弱性だ。この脆弱性を利用すれば、システムレベルでコードを実行することができ、データを含めて、そのコンピュータへのフルアクセスが可能となる。さらに悪いことに、リモートから悪用することも可能で、インターネットに接続されていれば、だれでもそのコンピュータを攻撃することができる。

マイクロソフトによれば、Windows 8とWindows 10については、このバグによる脆弱性はないという。しかし、このバグが非常に危険であることを考慮して、マイクロソフトはかなり前にサポート対象外となったWindows XPを含むOSについても、パッチを提供するという稀な対処を実行することにした。

これまでのところ、McAfeeCheck Pointなど、いくつかのセキュリティ会社は、実際に動作する概念実証コードを開発済だとしている。最悪の場合には、コンピュータをシャットダウンすることで、サービスを停止させる機能を持ったものだという。しかし、再び大規模なランサムウェア攻撃を発生させるようなコードの開発に、ハッカーが近づいているのではないかという懸念も拭いきれない。

独立したマルウェア研究者Marcus Hutchins氏は、「この脆弱性の利用方法を解明するのに1時間かかった」とツイートしている。それから4日間かけて、実際に動作するコードを開発したという。しかし「危険」なので、直ちにそのコードを公開するつもりはないそうだ。

常に有効なメッセージは明白だ。手遅れになる前にシステムにパッチを当てること。

この記事は、Hutchins氏の発信の内容を明確にするためにアップデートした。BlueKeepバグを突くコードを開発するのにかかったのは1時間ではなく4日だった。

関連記事:ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)