今月明らかになった Windows リモート デスクトップの重大な脆弱性は、ここ数年で最悪のマルウェア攻撃のきっかけとなった可能性がある。
CVE-2019-0708 と指定され、BlueKeep と呼ばれるこの脆弱性は、悪意のある人物によって悪用され、ユーザー認証を必要とせずに悪意のあるコードを実行し、脆弱なマシンにマルウェアをインストールすることができます。ハッカーがボックスを乗っ取るには、インターネットまたはネットワーク経由でボックスにアクセスできれば十分です。
これは「ワーム化可能な」セキュリティホールと言われています。これは、自動的に拡散し、あるマシンに感染して他のマシンを攻撃するワームを作成できるためです。2週間前、マイクロソフトはWindows XP以降のシステム向けにこのバグを修正するセキュリティパッチをリリースしており、すべてのユーザーにインストールを推奨しています。
さて、2週間が経過した今、インターネットに接続された脆弱なマシンは、攻撃や乗っ取りを待つまま、まだどれだけ残っているのだろうか?Errata SecurityのRob Graham氏は本日、インターネット上に公開されている、パッチ未適用のマシンが既に100万台近くあると発表した。
具体的には、グラハム氏は数時間かけて、CVE-2019-0708の脆弱性が依然として残る公開コンピュータ約93万2671台を発見したと述べています。この調査では、masscanツールを使用して、Windowsリモートデスクトップのネットワークポート(3389)が開いているマシンをパブリックインターネット上でスキャンし、一致した762万9102台のマシンに対して、各マシンが脆弱なバージョンのサービスを実行しているかどうかを調べる2つ目のスクリプトを実行しました。
約 932,671 台で脆弱な Windows RDP サービスが実行されていることが判明し、1,414,793 台のシステムにパッチが適用され、1,235,448 台が追加の CredSSP/NLA セキュリティ チェックによって保護され、82,836 台がポート 3389 で HTTP サーバーを実行していることが判明したため脆弱性はなく、残りはタイムアウトになったか、何らかの理由で接続に失敗しました。
脆弱
「結局のところ、これらのテストによって、このバグに対して脆弱なマシンが公共のインターネット上に約95万台存在することが確認されました」とグラハム氏は述べた。「ハッカーは今後1、2ヶ月のうちに強力なエクスプロイトを見つけ出し、これらのマシンに大混乱を引き起こす可能性が高いでしょう。」
グラハム氏は、このような大混乱は、2017年に発生したWannaCryとNotPetyaランサムウェア感染による被害に匹敵する規模になる可能性があると述べた。ハッカーたちは既に自動化されたエクスプロイトの開発に取り組んでいるため(ネットワーク上の危険にさらされているマシンをスキャンするツールがリリースされている)、ワームは無防備な数十万台のマシンに容易に侵入できる可能性がある。
あなたの専門分野? 明白な…連邦政府がRDPの悲惨さを警告
続きを読む
さらに悪いことに、多くの組織では、インターネットに接続している脆弱なRDP対応マシンが忘れ去られ、そこに有効なドメイン管理者の資格情報が保存されている可能性があります。これらの資格情報は、リモートデスクトップハッカーやワームによって盗まれ、ネットワークへの侵入をさらに進める可能性があります。グラハム氏はThe Registerに対し、このような状況、つまり侵入されたマシンからドメイン管理者の資格情報が盗まれるという状況は、今日の企業環境では残念ながらあまりにも一般的であると述べています。
「ほとんどの企業がこの問題を抱えています」とグラハム氏は述べた。「ドメイン管理者の権限制限が不十分なのです。」
脆弱なシステムの集計は、管理者にとって、すべてのマシンにパッチが適用され、最新の状態であることを確認するための重要な警告となるでしょう。数十万台もの脆弱な公開ネットワークに接続された機器は、格好の格好の標的であり、次なる巨大ワームの標的になりたくはありません。グラハム氏は、管理者に対し、5月の月例パッチのセキュリティ修正プログラムをインストールする際に、インターネットに接続された機器が見落とされていないか、ネットワークスキャンを実行することを推奨しています。
誰もがパッチを適用するわけではありません。理由は様々ですが、結果は通常同じです。例えば、今月、米国ボルチモア市のシステムがランサムウェアに侵入されました。このランサムウェアは、2017年に初めてパッチが公開されて以来、私たちが認識していたWindowsの脆弱性を悪用し、コンピューターに感染した可能性があります。®
