Black Hat Asia Microsoft は、システムを乗っ取ってネットワークを横方向に移動するために悪意のある人物が悪用する可能性のあるセキュリティ上の欠陥に対処するために、Windows Server がパッチを適用していない RDP クライアントを認証するのを阻止します。
このバグ(CVE-2018-0886)は、3月の月例パッチで修正されました。これは、MicrosoftのCredential Security Support Providerプロトコル(CredSSP)の実装に関係しています。企業ネットワーク上の中間者攻撃者は、この脆弱性を悪用することで、正規のユーザーまたは管理者になりすまし、任意のコマンドをサーバーに送信して実行させることが可能です。
そこから、イントラネットを介した横方向の移動が可能になり、まさに犯罪者が好む手口です。この脆弱性はセキュリティ企業Preemptによって発見され、以下のビデオで解説されています。
YouTubeビデオ
Microsoft のパッチに関するドキュメントには、次のように記載されています。「緩和策は、対象となるすべてのクライアントおよびサーバー オペレーティング システムに更新プログラムをインストールし、含まれているグループ ポリシー設定またはレジストリ ベースの同等の設定を使用して、クライアントおよびサーバー コンピューターの設定オプションを管理することです。」
「管理者はできるだけ早くポリシーを適用し、クライアントとサーバーのコンピューターでポリシーを「クライアントの更新を強制する」または「軽減済み」に設定することをお勧めします。」
サイバー犯罪者が乗っ取ったRDPサーバーを売り飛ばしている
続きを読む
Microsoftのアドバイザリでは、この脆弱性に対処するための2つの計画についても言及されています。2018年4月17日には、MicrosoftのRDPクライアントのアップデートにより、「アップデートされたクライアントがアップデートされていないサーバーへの接続に失敗した場合に表示されるエラーメッセージが強化されます」。そして、5月8日(あるいはそれ以降)には、「デフォルト設定を脆弱から緩和済みに変更するアップデート」がリリースされる予定です。
3月23日金曜日、Preemptの担当者はシンガポールで開催されたBlack Hat Asiaカンファレンスで、5月のパッチにより、パッチ未適用のRDPクライアントはパッチ適用済みのWindows Serverボックスによって拒否され、脆弱性が悪用されなくなると語った。
4月と5月のPatch Tuesdayで公開されるパッチを注意深く監視するのが賢明でしょう。また、サードパーティ製のRDPクライアントベンダーからのアップデートも確認することをお勧めします。これらのクライアントもこの脆弱性の影響を受ける可能性があります。®
