MicrosoftはWindowsのSMBv3に深刻な脆弱性(CVE-2020-0796)が存在するとして定例外で更新プログラムKB4551762を公開しました。ここでは関連する情報をまとめます。
この脆弱性は何?
- Windows 10 など最新のOSに実装されているMicrosoft Server Message Block 3.1.1プロトコル(SMBv3)に脆弱性が確認された。
- この脆弱性により、リモートから任意のコードを実行できる可能性がある。
- Microsoftは脆弱性深刻度を「緊急」(Critical)と評価しており、3月12日に定例外で修正プログラムを公開した。
- 脆弱性はCVE-2020-0796が採番。JPCERT/CCによるCVSS(基本値)スコアは9.8(v3)*1
何故深刻な(話題となった)の?
- 2017年以降多数の被害が発生したWannaCryのようなワーム型プログラムの発生が懸念されるため。
- 2020年3月の月例修正対象に含まれている脆弱性として一時情報公開されていたにもかかわらず3月10日時点で修正プログラムが公開されなかったため。*2
どのWindowsが影響を受けるの?
SMBv3圧縮がサポート(ver3.1.1)されたWindows OSが対象。
- Windows 10 1903
- Windows 10 1909
- Windows Server 1903 (Server Core installation)
- Windows Server 1909 (Server Core installation)
どうやって対策すればいいの?
- Windows OSのアップデートを行う。(要再起動)
対象 | 対策(MSが強く推奨) | 更新できない際の回避策 |
---|---|---|
Windows 10 | 更新プログラムの適用 | SMBトラフィックのラテラル接続遮断 |
Windows Server | 更新プログラムの適用 | SMBv3圧縮を用いた接続の無効化 |
- Microsoftからは更新プログラム KB4551762の適用が強く推奨されている。
- SMBv3圧縮の無効化はSMBクライアントへの悪用を防ぐ効果はないため注意。
公式情報はどこ?
2020年3月12日にMicrosoftが更新プログラムとともにセキュリティ情報を公開している。
3月10日に話題に上ったことから、セキュリティアドバイザリも公開していた。
この脆弱性は既に悪用されているの?
- 3月12日時点でMicorosoftは脆弱性の悪用(Exploited)は確認していないと報告。
- 悪用可能性指標(Exploitability Index)では悪用の可能性が高いとして高い優先度での対応を推奨。
- セキュリティ研究者らが脆弱性の調査を進めており、検証コードの公開や脆弱性の実証報告がされている。
- 警察庁は3月11日以降、SMBv2以降のバージョン確認とみられるアクセスが増加傾向にあると報告。(アクセスにはセキュリティ組織の調査スキャンも含まれる模様)
ブルースクリーンの発生
Our Telltale research team will be sharing new insights into CVE-2020-0796 soon. Until then, here is a quick DoS PoC our researcher @MalwareTechBlog created. The #SMB bug appears trivial to identify, even without the presence of a patch to analyze. https://t.co/7opHftyDh0 @2sec4u pic.twitter.com/0H7FYIxvne
— Kryptos Logic (@kryptoslogic) 2020年3月12日
- 未確認ながらGithubにもPoCとみられるコードが公開されている。
ローカル環境下での権限昇格
セキュリティ製品の対応状況は?
その他
スキャナー
- SMBv3圧縮接続をサポートしているかスキャンするツールがGithub上に公開されている。
更新履歴
- 2020年3月13日 AM 新規作成
- 2020年3月13日 AM Fortinetの対応追記
- 2020年3月13日 PM JPCERT/CCの注意喚起を追記
- 2020年3月16日 AM 警察庁の観測情報などを追記
*1:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
*2:Details about new SMB wormable bug leak in Microsoft Patch Tuesday snafu | ZDNet