piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Windows リモートデスクトップサービスの脆弱性 CVE-2019-0708についてまとめてみた

2019年5月15日、Microsoftは定例アップデートを行い、複数の脆弱性が修正されています。この中で、CVE-2019-0708として採番された脆弱性がWormとなりうるものだとして注意喚起が行われています。Microsoftは2017年のWannaCryの再来となる恐れがあるとし、既にサポートが終了しているWindows XPなどにも修正プログラムを公開しました。ここでは関連する情報をまとめます。

脆弱性概要

Microsoftが公開したセキュリティ情報をまとめると次の通り。
CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability

影響 リモートデスクトップサービスに任意のコード実行をされる脆弱性。第三者により標的のシステム上で任意のプログラムやデータやアカウントの作成や操作が行われる恐れがある。
影響を受ける対象 ・Windows 7 SP1
・Windows Server 2008 SP2
・Windows Server 2008 R2 SP1
CVE CVE-2019-0708
CVSS 9.8(Base)、8.8(Temp)
PoC 5/14時点で確認されていなかったが、5/30にPoCとみられるコードがGithubで公開
呼称 #BlueKeep
対策 修正プログラムを適用する。
必要でない場合はリモートデスクトップサービスを無効化する。*1
  • RDP経由でリモートデスクトップサービスへ細工した要求を送る必要がある。
  • 脆弱性は認証前に行われ、悪用時にユーザーの操作を必要としない。
  • 脆弱性のAcknowledgementsは英国NCSC。

次のOSはCVE-2019-0708の影響を受けない。

  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

MSRCチームはCVE-2019-0708への対応に注意を強く呼びかけている。
blogs.technet.microsoft.com

  • 将来的に悪用された場合、脆弱なシステム間で拡散される恐れがある。
  • 世界中で広まった2017年のWannaCryの再来となる可能性がある。
  • 今後悪意のある人物が脆弱性を悪用しマルウェアを組み込む可能性が高い。
  • 特例としてサポート外のWindows向けにも修正プログラムを公開する。
  • ネットワークレベル認証が有効となっている場合は影響が緩和される可能性がある。

WinXPやVista向け修正プログラム公開

対象OSは以下の通り。

  • Windows XP SP3 x86
  • Windows XP Professional x64 Edition SP2
  • Windows XP Embedded SP3 x86
  • Windows Vista SP2
  • Windows Vista x64 Edition SP2
  • Windows Server 2003 SP2 x86
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 R2 SP2
  • Windows Server 2003 R2 x64 Edition SP2

Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019
Description of the security update for the remote code execution vulnerability in Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3, Windows Embedded POSReady 2009 and Windows Embedded Standard 2009

  • 旧OS向けはKb4500331として公開されている。
  • いずれも重要度はCriticalと評価。リモートコードが実行される恐れあり。
  • Termdd.sysとUpdspapi.dll(Server OSのみ)が差し替えられる。
  • Vista、2003 R2向けの修正プログラムは公開されていなかったが、その後公開された。

PoC


vimeo.com

解析記事や検証動画など

securingtomorrow.mcafee.com
wazehell.io
www.youtube.com



Shodanでの検索結果

blog.binaryedge.io

  • 国内でも影響を受けるサーバーが存在する状況。

f:id:piyokango:20190516054139p:plain

PoCの偽物がVTにアップされる


関連情報

www.jpcert.or.jp

更新履歴

  • 2019年5月15日 AM 新規作成
  • 2019年5月16日 AM 続報追記
  • 2019年5月24日 AM Vista向け更新プログラムが公開されていたため更新
  • 2019年5月31日 PM PoCを追記

*1:無効化時もMSは修正PGの適用を強く推奨している。