Tenable ブログ
ブログ通知を受信するCVE-2019-0604: 深刻度が「緊急」の Microsoft SharePoint のリモートコード実行の脆弱性を悪用する攻撃が確認される
マイクロソフトは、5月に最初に確認された SharePoint における脆弱性にパッチ修正を適用されましたが、その9か月後、攻撃者は引き続きこの脆弱性を悪用しています。
背景
12月10日、セキュリティ研究者の Kevin Beaumont 氏は、Microsoft SharePoint の脆弱性を修正するよう組織に呼びかけるツイートを公開しました。この脆弱性は、5月以来、サイバー犯罪者らにより積極的に悪用され続けています。
A reminder that all organisations should be patching SharePoint vulnerability CVE-2019-0604 (from February) as significant numbers of assets remain exposed, and the vulnerability is actively exploited in the wild.
— Kevin Beaumont (@GossiTheDog) December 10, 2019
分析
CVE-2019-0604 は、アプリケーションパッケージのソースマークアップをチェックする際の入力検証が不適切なために発生する、Microsoft SharePoint の脆弱性で、リモートコード実行 (RCE) につながる可能性があります。この脆弱性を突くと攻撃者は「SharePoint アプリケーションプールと SharePoint サーバーファームアカウントのコンテキストで」任意のコードを実行することができます。この脆弱性は、セキュリティ研究者の Markus Wulftange 氏により報告されました。Markus Wulftange 氏は、3月13日に Zero Day Initiative のブログでこの発見に関する詳細な記事を共有しています。
5月9日、セキュリティ研究者の Chris Doman 氏はサウジアラビアの国立サイバーセキュリティセンターとカナダのサイバーセキュリティセンターからの報告に基づき、この脆弱性が悪用が確認されたことを公開しました。
SharePoint CVE-2019-0604 now being exploited in the wild - reports by Saudi (https://t.co/m6VmF7n2Js) and Canadian (https://t.co/yhzY8qgxi8) National Cyber-Security Centres. Some additional IOCs @ https://t.co/gsGOoh6h9r pic.twitter.com/70LQCOmuTn
— chris doman (@chrisdoman) May 9, 2019
5月28日、Palo Alto Networks は、Emissary Panda として知られている脅威アクターによる標的型攻撃でこの脆弱性の悪用が特定されたことをブログで公開しました。
さらに、CloudFlare は5月28日に脆弱性に関するブログを公開しました。CloudFlare は、「認証なしで到達できるパスがあったため」、認証されていないユーザーによる悪用が可能であることを確認しました。 そのため、彼らは NVD が提供する危険度の採点「8.8」に異議を唱え、「9.8」に変更することを推奨しました。また、この脆弱性の概念実証(PoC)コードは「そのままでは機能しなかった」ため、「より熟練した攻撃者による武器化」が必要であることを指摘しました。
11月25日、Beaumont 氏は SharePoint をサポートするために BlueKeep ハニーポットを「BluePot」と変更しました。Beaumont 氏は、その翌日に「攻撃が仕掛けられた」ことを確認しています 。この脆弱性は「認証されていない攻撃者」により悪用される可能性があるので、CVSSスコアは「9.8」であるべきだと彼は繰り返し指摘しています。この脆弱性は未だに悪用されており、「脆弱性を持つシステムが数多くインターネット公開されている」ため、彼は12月10日に追加のリマインダーを公開しています。
概念実証
脆弱性の概念実証コードを含む GitHub リポジトリが最初に公開されたのは5月でしたが、そのリポジトリはその後削除されました。6月には、この脆弱性に対する別の概念実証が GitHub リポジトリに公開され、この概念実証の使用に関する詳細な記事は、この数日間に GitHub に公開されました。
9月、セキュリティアナリストの Mansour Al-Saeedi 氏は、Zero Day Initiative による初期の研究に基づき脆弱性の分析を公開し 、簡単な概念実証をデモしました。また、 Al-Saeedi 氏は、彼の GitHub リポジトリで RCE エクスプロイトのパケットキャプチャ分析、および、それを検出する Snort および Sigma ルールを公開しました。
ソリューション
マイクロソフトは、2月12日に公開された月例セキュリティ更新プログラムでこの脆弱性の修正をリリースしましたが、当初に公開されたパッチは不完全だったため、マイクロソフトは3月12日にフォローアップリリースを発行し、この脆弱性を「包括的に解決」しました。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable プラグインのリストは、こちらからご覧いただけます。
詳細情報
- Microsoft の CVE-2019-0604に関するセキュリティ更新プログラムガイド
- Markus Wulftange による CVE-2019-0604 の詳細な説明
- Emissary Panda による CVE-2019-0604 の悪用に関する Palo Alto Networks のブログ
- CVE-2019-0604 の停止に関する Cloudflare のブログ
- Mansour Al-Saeedi による CVE-2019-0604 の分析
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
- Vulnerability Management