CVE-2019-0708: BlueKeepエクスプロイトによる差し迫る脅威
BlueKeepが発表されてから約80日経ちましたが、エクスプロイトの脅威はいまだに見られます。エクスプロイトスクリプトが近日中にりりーすされる噂が浮上しているので、パッチを適用していないユーザーは、危険にさらされる可能性があります。
背景
2019年5月、マイクロソフトはBlueKeepと名付けられたCVE-2019-0708の重要なパッチをリリースしました。認証されていない攻撃者は、この脆弱性を突き、Remote Desktop Protocol(RDP)を実行する脆弱なホストを攻撃する可能性があります。マイクロソフトは、Windows XPやWindows 2003を含む、サポート対象外のバージョンのWindows用のセキュリティ更新プログラムを発表するブログ記事を公開し、BlueKeepは2017年5月に発生したWannaCryワームと同じレベルの影響を与える可能性があると警告しています。この問題の重大性にもかかわらず、80万台を超えるシステムが依然として脆弱なままであると報告されています。エクスプロイトがすでに開発され、概念実証コード(PoC)がGitHubのようななサイトに続けて公開されているため、パッチが適用されていない多くのシステムが攻撃を受けるリスクは高いと考えられます。
分析
5月のブログで概説したように、BlueKeepは認証前の脆弱性で、この脆弱性を突くとユーザーの操作を必要とせずに、脆弱なリモートターゲットで任意のコードを実行することが可能になります。マイクロソフト月例のセキュリティ更新プログラムの公開後24時間以内に、Microsoft Security Response Center(MSRC)はBlueKeepが広く悪用されている可能性があることを警告しました。 GitHubのようなサイトでは、偽のエクスプロイトや悪意のあるコードを公開するプロジェクトが表れています。5月以来、その数は増え続けており、実用的な例であることを主張ものも多くあります。
Tenable Researchの研究者あは、月例セキュリティ更新プログラムの公開以来、認証されていないリモートチェックと認証されたローカルチェックの両方で脆弱な資産を識別するためのプラグインの開発に熱心取り組んできました。弊社の認証されたローカルプラグインはマイクロソフトの公開後数時間以内にリリースされ、認証されていないリモートプラグインはBlueKeepの公開後わずか1週間で公開されました。
BlueKeepが発表されてから数週間後、エクスプロイトに対するカバレッジと関心が高まり続けています。セキュリティベンダー、Immunityはエクスプロイトモジュールを発表し、独立系の研究者、zerosum0x0は、オープンソースのツールとしてエクスプロイトを開発し、近日中にリリースすると述べています。 さらに、WatchBogマルウェアの新しい亜種には、BlueKeep用のスキャンモジュールが含まれています。この脆弱性が大きな注目を集めているため、US-CERTはユーザーと管理者に直ちに行動を起こすよう促す警告を発表しました。
ソリューション
Tenableは適切なパッチを早急に適用することをお勧めします。マイクロソフトはWindows 7、Windows Server 2008およびWindows Server 2008 R2用の更新プログラムを提供しています 。さらに、マイクロソフトはWindows XPやWindows Server 2003を含むサポート対象外システムにもパッチを提供しています。
Tenableは、次の回避策もお勧めします。
- ネットワークレベル認証(NLA)を有効にします。マイクロソフトは回避策としてNLAを有効にすることを推薦しています。
- 境界ファイアウォールでRDP(デフォルトはTCPポート3389)をブロックします。
- 未使用のサービスを無効にします。
- サポート終了(EOL)オペレーティングシステムをアップグレードします。
影響を受けているシステムの特定
CVE-2019-0708に対するTenableのリモートプラグインはこちらから入手できます。 このプラグインを使用すると、資格情報を提供せずに影響を受けるシステムを識別できます。
NLAが有効になっていないシステムを識別するためには、プラグイン58453を使用してください。
BlueKeep(CVE-2019-0708)を識別するためのすべてのプラグインのリストはこちらからアクセス。
詳細情報
- MicrosoftのCVE-2019-0708アドバイザリーページ
- マイクロソフト、CVE-2019-0708 のユーザー向けガイダンス
- マイクロソフト、「緊急」の「BlueKeep」脆弱性 (CVE-2019-0708) を月例セキュリティ更新プログラムで修正
- WatchBogマルウェアにBlueKeepスキャナ(CVE-2019-0708)、および、新しいエクスプロイト(CVE-2019-10149、CVE-2019-15158)が追加される
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
Tenable.io60日間無料トライルを入手する。
Scott Caveza
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Scott Caveza は 2012 年に Nessus プラグインチームのリサーチエンジニアとして Tenable に入社しました。 長年にわたって Nessus のために数百ものプラグインを作成し、プラグインチームのチームリーダーやマネージャーとして、さらに多くのプラグインのコードをレビューしてきました。 Scott は以前はセキュリティレスポンスチームとゼロデイ調査チームを率いていましたが、現在はセキュリティレスポンスチームのメンバーとして、リサーチ組織が最新の脅威に対応できるように支援しています。 前職では大手ドメイン登録事業者およびウェブホスティングプロバイダーのセキュリティプロバイダーセンター (SOC) の業務に携わり、業界経験は10年を超えています。 現在は CISSP であり、GIAC GWAPT ウェブアプリケーションペネトレーションテスターの有効な資格を積極的に取得しています。
プライベートの時間には... Scott は家族と過ごす時間、キャンプ、釣り、アウトドアを楽しんでいます。 ウェブアプリケーションの脆弱性を見つけることや家のリノベーション計画も趣味としています。
関連記事
Volt Typhoon: What State and Local Government Officials Need to Know
Increased activity from the state-sponsored threat group Volt Typhoon raises concerns about the cybersecurity of U.S. critical infrastructure. Here’s how you can identify potential exposures and attack paths....
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on...
Detecting Risky Third-party Drivers on Windows Assets
Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers....
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning