悪名高い Windows RDP バグ (別名 CVE-2019-0708、別名 BlueKeep) を悪用し、脆弱なボックスを乗っ取る方法に関する重要な手がかりが今週オンラインで公開されました。
増加するヒントは、Windows XPからServer 2008までのMicrosoftリモートデスクトップサービスソフトウェアを攻撃し、認証やユーザーインタラクションなしにカーネルレベルのコード実行を可能にする実用的なコードを開発するために利用される可能性があります。必要なのは、ネットワークまたはインターネット経由で脆弱なRDPサーバーにアクセスできることだけです。
このような侵入により、攻撃者はマシンを完全に制御できるようになります。現在、公開されている概念実証のエクスプロイトコードは、マシンを乗っ取るのではなく、脆弱なシステムをクラッシュさせるものがほとんどです。前述のヒントや対策に基づいて作成された、公開され、動作し、信頼性の高いリモートコード実行エクスプロイトが、マシンからマシンへと移動し、BlueKeepを介して感染しながら情報を窃取したり、ランサムウェアを展開したりするワームの作成に利用されるのではないかと懸念されています。
マイクロソフトは5月にBlueKeepの無料パッチをリリースしたが、全員がインストールしたわけではない。
新しい詳細
今週初め、ハンドルネーム 0xeb_bp を使用する研究者が、欠陥の詳細な分析と、Windows XP をターゲットとする不完全な概念実証 Python コードを含む GitHub リポジトリを作成しました。
BlueKeepは、リモートデスクトップサービスのカーネルドライバtermdd.sysに存在するuse-after-free()の脆弱性です。Zero Day Initiativeによるこちらの記事でより詳細な技術的説明が提供されていますが、要約すると、脆弱なRDPサーバーへの接続を開き、MS_T120\x00この接続を介して呼び出されるチャネルを開き、悪意のあるコードのペイロードを送信した後、接続を終了することが可能です。これによりバグがトリガーされ、適切な手段を講じれば、密かに持ち込まれたコードが実行されます。
これを実現するには、Windowsカーネルのヒープメモリプールに、コード実行に必要なデータを正確にスプレーするという、かなり巧妙な手法を実行する必要があります。ヒープスプレーの概念はエクスプロイト開発者やセキュリティエンジニアには理解されていますが、CVE-2019-0708の文脈では、これまで公に説明されていませんでした。
Rustの平和:CおよびC++コードのメモリバグがセキュリティ問題を引き起こすため、Microsoftは再び代替案を検討している
続きを読む
0xeb_bp 氏の GitHub リポジトリにある PDF 形式のレポートには、これらの重要な手順と、プールを上書きする方法が詳しく記載されています。業界関係者は、特にブラウザ攻撃の文脈においてヒープスプレー攻撃の存在を認識していますが、Windows カーネルの非ページメモリプールに対してこの手法を使用するのは容易ではありません。しかし、CVE-2019-0708 に関しては、その実行方法に関するウォークスルーが公開されており、動作確認のビデオもこちらでご覧いただけます。
このPDFでは、マシンを乗っ取るために必要なシェルコードなど、特定の詳細が意図的に省略されていると聞いて安心する人もいるかもしれません。また、このPDFはWindows XPを対象としており、この手法はそれ以降のバージョンのOSでは機能しない可能性があります。しかし、2日前にオンラインで公開された中国語のスライド資料で詳細に説明されているエクスプロイトのヒントに加え、実際に機能するエクスプロイトの難しい部分が公開されたため、誰かが作業を完了して共有する道が開かれました。
「ここに掲載されている情報はすでに中国のハッカーコミュニティ内で入手可能だ」と0xeb_bpは指摘した。
WannaCryの突破者であり、著名なセキュリティ研究者でもあるマーカス・ハッチンズ氏は、銀行を狙うマルウェアの開発に関与した罪で米国で判決を待っているが、この追加情報によって、ホワイトハットとブラックハットの双方がBlueKeepを悪用しやすくなるだろうと述べた。「彼らは実際にプールスプレーを実行するコードを提供した」とハッチンズ氏は述べ、おそらく1週間以内に誰かが実際に動作する公開エクスプロイトを完成させるだろうと付け加えた。
これにより、Microsoft のパッチをまだインストールしていない管理者に、バグを完全に排除するために必要な最後の動機が与えられるはずです。®
