piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

定例外で修正されたSMBv3の脆弱性(CVE-2020-0796)についてまとめてみた

MicrosoftはWindowsのSMBv3に深刻な脆弱性(CVE-2020-0796)が存在するとして定例外で更新プログラムKB4551762を公開しました。ここでは関連する情報をまとめます。

この脆弱性は何?

  • Windows 10 など最新のOSに実装されているMicrosoft Server Message Block 3.1.1プロトコル(SMBv3)に脆弱性が確認された。
  • この脆弱性により、リモートから任意のコードを実行できる可能性がある。
  • Microsoftは脆弱性深刻度を「緊急」(Critical)と評価しており、3月12日に定例外で修正プログラムを公開した。
  • 脆弱性はCVE-2020-0796が採番。JPCERT/CCによるCVSS(基本値)スコアは9.8(v3)*1

何故深刻な(話題となった)の?

  • 2017年以降多数の被害が発生したWannaCryのようなワーム型プログラムの発生が懸念されるため。
  • 2020年3月の月例修正対象に含まれている脆弱性として一時情報公開されていたにもかかわらず3月10日時点で修正プログラムが公開されなかったため。*2

f:id:piyokango:20200313070226p:plain
一時掲載されていたCVE-2020-0796の情報(Cisco Talos Blogのアーカイブより)

どのWindowsが影響を受けるの?

SMBv3圧縮がサポート(ver3.1.1)されたWindows OSが対象。

  • Windows 10 1903
  • Windows 10 1909
  • Windows Server 1903 (Server Core installation)
  • Windows Server 1909 (Server Core installation)

どうやって対策すればいいの?

  • Windows OSのアップデートを行う。(要再起動)

f:id:piyokango:20200313064625p:plain
CVE-2020-0796を修正する更新プログラム

対象 対策(MSが強く推奨) 更新できない際の回避策
Windows 10 更新プログラムの適用 SMBトラフィックのラテラル接続遮断
Windows Server 更新プログラムの適用 SMBv3圧縮を用いた接続の無効化
  • Microsoftからは更新プログラム KB4551762の適用が強く推奨されている。
  • SMBv3圧縮の無効化はSMBクライアントへの悪用を防ぐ効果はないため注意。

公式情報はどこ?

2020年3月12日にMicrosoftが更新プログラムとともにセキュリティ情報を公開している。

3月10日に話題に上ったことから、セキュリティアドバイザリも公開していた。

注意喚起は出ている?

  • JPCERT/CCが3月11日にCyberFlashNewsで、3月13日に注意喚起を公開した。

www.jpcert.or.jp

この脆弱性は既に悪用されているの?

ブルースクリーンの発生

ローカル環境下での権限昇格

脆弱性を識別する名前はある?

CVE以外ではセキュリティ関係者などにより非公式に次の名前で呼称されていることがある。

更新履歴

  • 2020年3月13日 AM 新規作成
  • 2020年3月13日 AM Fortinetの対応追記
  • 2020年3月13日 PM JPCERT/CCの注意喚起を追記
  • 2020年3月16日 AM 警察庁の観測情報などを追記