米国土安全保障省(DHS)のサイバーセキュリティ諮問機関(CSU)は、マイクロソフトのWindowsサーバー版に 「緊急」 レベルのセキュリティ脆弱性が存在することが最近明らかになったことを受け、政府機関に異例の緊急警告を発した。
サイバーセキュリティおよびインフラ安全保障局(CISA、Cybersecurity and Infrastructure Security Agency)は米国時間9月19日遅く、政府ネットワークへの「許容できないリスク」を理由に、9月21日までにいわゆるZerologon(ゼロログオン)攻撃に脆弱なすべてのWindowsサーバに「直ちに」パッチを当てることを、すべての連邦省庁に要求する警告を発した(CISAレポート)。Zerologonは、ドメインコントローラーの乗っ取りを許す恐れのある脆弱性として知られている。
これは、今年CISAによって発行された3番目の緊急警告だ。Zerologonは最大10.0の深刻度に格付けされている脆弱性(Microsoft Security Update Guide)で、攻撃者はネットワークのセキュリティを管理するサーバーであるドメインコントローラを含む、脆弱性のあるネットワーク上の任意またはすべてのコンピュータを制御できる可能性がある。攻撃者は、ドメインコントローラにアクセスするためにネットワークパスワードを盗んだり使用したりする必要がなく、ネットワークに接続されている脆弱なデバイスを悪用するなどしてネットワーク上に足がかりを得るだけなので「Zerologon」と呼ばれている。
ネットワークに完全にアクセスできれば、攻撃者はマルウェアやランサムウェアを展開したり、機密性の高い内部ファイルを盗み出したりすることができる。
このバグを発見したセキュリティ会社のSecura(セキュラ)は、「脆弱性を悪用するのには『実際には3秒程度』かかる」と述べている(Securaブログ)。
マイクロソフトは、この悪用を防ぐために8月に初期の修正プログラムを公開していたが、このバグの複雑さを考えると「この問題を完全に根絶するには来年初めに2回目のパッチを適用しなければならない」と説明していた。
しかし、研究者が概念実証コードを公開し、攻撃者がこのコードを使って攻撃を行える可能性があると報告された後、システムへのパッチ適用に向けての競争が始まっている。CISAは9月19日に「この脆弱性が実際に悪用されていると想定している」と述べている。
CISAの警告は連邦政府のネットワークにのみ適用されるが、企業や消費者に対しても、まだパッチを適用していない場合はできるだけ早くパッチを適用するよう「強く」促している。
画像クレジット:Dean Mouhtaropoulos / Getty Images
[原文へ]
(翻訳:TechCrunch Japan)