CVE-2019-0708: 「BlueKeep」脆弱性を狙い、仮想通貨マイナーを増やす攻撃が確認される

「BlueKeep」脆弱性の公開されてからほぼ6か月後、研究者らはこの脆弱性を突く初の攻撃を確認しています。

背景

11月2日、セキュリティ研究者のKevin Beaumont（@GossiTheDog@GossiTheDog）氏およびMarcus Hutchins（@MalwareTechBlog@MalwareTechBlog）氏は、「BlueKeep」として知られているCVE-2019-0708の初の攻撃を確認しました。

分析

マイクロソフトのリモートデスクトップサービスの重大なリモートコード実行の脆弱性であるCVE-2019-0708は、2019年5月に修正されています。マイクロソフトは、2017年のWannaCryのようにワームが広がる可能性を阻止するために、この脆弱性に対してサポート対象外のバージョンのWindows用のセキュリティ更新プログラムをリリースし、業界の話題なりました。Beaumont氏は、「ゲーム・オブ・スローンズ」にインスピレーションを受けて、脆弱性を「BlueKeep」と名付け、BlueKeepハニーポットを設定して、この脆弱性を悪用する攻撃を世界的に監視しています。

CVE-2019-0708 RDP vulnerability megathread, aka BlueKeep.

Going to nickname it BlueKeep as it’s about as secure as the Red Keep in Game of Thrones, and often leads to a blue screen of death when exploited.

— Kevin Beaumont (@GossiTheDog) May 14, 2019

この週末11月2日から、Beaumont氏はBlueKeepハニーポットでブルースクリーン（BSOD）を確認しました。

huh, the EternalPot RDP honeypots have all started BSOD'ing recently. They only expose port 3389. pic.twitter.com/VdiKoqAwkr

— Kevin Beaumont (@GossiTheDog) November 2, 2019

Beaumont氏はハニーポットからのカーネルクラッシュダンプをHutchins氏と共有し、Hutchins氏は、これがBlueKeepを悪用した最初の攻撃であることを確認しています。

Blog post on how I discovered mass exploitation of BlueKeep from a kernel dump of a crashed system. https://t.co/2tLdLNosYt

— MalwareTech (@MalwareTechBlog) November 3, 2019

Hutchins氏は攻撃者が最近リリースされたエクスプロイトモジュールを利用して暗号通貨（または「コイン」）マイナーを配布していることを特定し、この分析をブログで共有しています。この暗号通貨マイナーは、「BlueKeep Monero Miner」と呼ばれるもので、11月3日の時点では、VirusTotalスキャナーの44％で検出されています。Beaumont氏は、ブログ記事でもこの発見を共有しています。

BlueKeepが公開されてから初の攻撃が確認されるまでに数ヶ月かかりましたが、この脆弱性を狙った攻撃は予期されていました。7月に、WatchBogとして知られる暗号通貨マイニングボットネットは、脆弱なシステムを識別するためにBlueKeepスキャンモジュールを組み込み、8月には、BlueKeepのエクスプロイトがオープンソースツールに組み込まれるという噂もありました

この脆弱性を突いた攻撃はWannaCryレベルではありませんが、組織に脆弱なシステムがある場合は、早急にパッチを適用することをお勧めします。

ソリューション

Tenableは、以下のパッチを早急に適用することを推奨しています。次の表には、さまざまな製品の関連するセキュリティ更新プログラムとマンスリーロールアップが含まれています。

Tenableでは、パッチ適用に加えて、次の緩和手順を推奨しています。

• ネットワークレベル認証（NLA）を有効にします。マイクロソフトは回避策としてNLAを有効にすることを推薦しています。
• 境界ファイアウォールでRDP（デフォルトはTCPポート3389）をブロックします。
• 未使用のサービスを無効にします。
• サポート終了（EOL）オペレーティングシステムをアップグレードします。Windows 7のサポートは、2020年1月14日に終了します。

影響を受けているシステムの特定

Tenableは、マイクロソフトが脆弱性を開示した後、CVE-2019-0708のリモートチェックプラグインをリリースしました。このプラグインを利用すると、資格情報を提供せずに影響を受けるシステムを特定できます。

NLAが有効になっていないシステムを識別するには、次のプラグインを使用してください。58453

BlueKeep（CVE-2019-0708）を識別するためのすべてのプラグインのリストは、こちら。

詳細情報

• 「BlueKeep」脆弱性を狙った攻撃（KryptosLogic）に関するMarcus Hutchinsのブログ
• 「BlueKeep」脆弱性を狙った攻撃に関するKevin Beaumontのブログ
• マイクロソフトブログ‐CVE-2019-0708の修正プログラムを発表
• マイクロソフト、CVE-2019-0708 のユーザー向けガイダンス

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。