CVE-2019-0708： BlueKeepエクスプロイトによる差し迫る脅威

BlueKeepが発表されてから約80日経ちましたが、エクスプロイトの脅威はいまだに見られます。エクスプロイトスクリプトが近日中にりりーすされる噂が浮上しているので、パッチを適用していないユーザーは、危険にさらされる可能性があります。

背景

2019年5月、マイクロソフトはBlueKeepと名付けられたCVE-2019-0708の重要なパッチをリリースしました。認証されていない攻撃者は、この脆弱性を突き、Remote Desktop Protocol（RDP）を実行する脆弱なホストを攻撃する可能性があります。マイクロソフトは、Windows XPやWindows 2003を含む、サポート対象外のバージョンのWindows用のセキュリティ更新プログラムを発表するブログ記事を公開し、BlueKeepは2017年5月に発生したWannaCryワームと同じレベルの影響を与える可能性があると警告しています。この問題の重大性にもかかわらず、80万台を超えるシステムが依然として脆弱なままであると報告されています。エクスプロイトがすでに開発され、概念実証コード（PoC）がGitHubのようななサイトに続けて公開されているため、パッチが適用されていない多くのシステムが攻撃を受けるリスクは高いと考えられます。

分析

5月のブログで概説したように、BlueKeepは認証前の脆弱性で、この脆弱性を突くとユーザーの操作を必要とせずに、脆弱なリモートターゲットで任意のコードを実行することが可能になります。マイクロソフト月例のセキュリティ更新プログラムの公開後24時間以内に、Microsoft Security Response Center（MSRC）はBlueKeepが広く悪用されている可能性があることを警告しました。 GitHubのようなサイトでは、偽のエクスプロイトや悪意のあるコードを公開するプロジェクトが表れています。5月以来、その数は増え続けており、実用的な例であることを主張ものも多くあります。

Tenable Researchの研究者あは、月例セキュリティ更新プログラムの公開以来、認証されていないリモートチェックと認証されたローカルチェックの両方で脆弱な資産を識別するためのプラグインの開発に熱心取り組んできました。弊社の認証されたローカルプラグインはマイクロソフトの公開後数時間以内にリリースされ、認証されていないリモートプラグインはBlueKeepの公開後わずか1週間で公開されました。

BlueKeepが発表されてから数週間後、エクスプロイトに対するカバレッジと関心が高まり続けています。セキュリティベンダー、Immunityはエクスプロイトモジュールを発表し、独立系の研究者、zerosum0x0は、オープンソースのツールとしてエクスプロイトを開発し、近日中にリリースすると述べています。 さらに、WatchBogマルウェアの新しい亜種には、BlueKeep用のスキャンモジュールが含まれています。この脆弱性が大きな注目を集めているため、US-CERTはユーザーと管理者に直ちに行動を起こすよう促す警告を発表しました。

ソリューション

Tenableは適切なパッチを早急に適用することをお勧めします。マイクロソフトはWindows 7、Windows Server 2008およびWindows Server 2008 R2用の更新プログラムを提供しています 。さらに、マイクロソフトはWindows XPやWindows Server 2003を含むサポート対象外システムにもパッチを提供しています。

Tenableは、次の回避策もお勧めします。

• ネットワークレベル認証（NLA）を有効にします。マイクロソフトは回避策としてNLAを有効にすることを推薦しています。
• 境界ファイアウォールでRDP（デフォルトはTCPポート3389）をブロックします。
• 未使用のサービスを無効にします。
• サポート終了（EOL）オペレーティングシステムをアップグレードします。

影響を受けているシステムの特定

CVE-2019-0708に対するTenableのリモートプラグインはこちらから入手できます。 このプラグインを使用すると、資格情報を提供せずに影響を受けるシステムを識別できます。

NLAが有効になっていないシステムを識別するためには、プラグイン58453を使用してください。

BlueKeep（CVE-2019-0708）を識別するためのすべてのプラグインのリストはこちらからアクセス。

詳細情報

• MicrosoftのCVE-2019-0708アドバイザリーページ
• マイクロソフト、CVE-2019-0708 のユーザー向けガイダンス
• マイクロソフト、「緊急」の「BlueKeep」脆弱性 (CVE-2019-0708) を月例セキュリティ更新プログラムで修正
• WatchBogマルウェアにBlueKeepスキャナ（CVE-2019-0708）、および、新しいエクスプロイト（CVE-2019-10149、CVE-2019-15158）が追加される

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

Tenable.io60日間無料トライルを入手する。