2020年7月14日、Microsoft社は「パッチチューズデイ」と呼ばれるWindowsの定期アップデート「2020 年 7 月のセキュリティ更新プログラム」を公開しました。中でも、Windows DNSサーバのRCE(リモート遠隔コード実行)脆弱性「CVE2020-1350」は発見者のCheck Point社により「SIGRed」と命名され「ワーム活動に利用可能」な脆弱性として注視されています。
■SIGRed(CVE2020-1350)脆弱性について
SIGRed脆弱性は、Windows DNS サーバにおけるRCEの脆弱性です。攻撃者は細工したDNSリクエストを送信することでこの脆弱性を悪用し、DNS サーバとして構成されている Windows サーバを遠隔で攻撃可能です。MS17-010脆弱性を利用したWannaCryのように、この脆弱性を利用して世界的に大流行するネットワークワームが出現する可能性が危惧されています。
ただし、このSIGRed脆弱性の影響を受けるのはDNSサーバだけでありクライアントに影響はないため、攻撃対象の範囲としてはMS17-010よりも狭いものと言えます。目安として、オンライン検索エンジン「Shodan」の2020年7月15日時点のデータによると、全世界で2万件以上のMicrosoft DNSサーバがインターネット上に存在していました。
-1-230x300.png)
(2020年7月15日時点)
また攻撃者が到達できないLAN内のDNSサーバであっても、メールやメッセージなどで細工したURLを送って受信者に開かせることにより、ブラウザ経由での攻撃が可能です。ただしCheck Point によれば、この際に使用されるブラウザはInternet Explorer、もしくは以前の非ChromiumベースのMicrosoft Edgeなどである必要があります。現在PCのブラウザとしてシェアの高いGoogle Chrome、またはMozilla Firefoxや、Microsoft Edgeでも最新のChromiumベースのバージョンでは攻撃は成功しません。
このようにインターネット上、もしくはLAN内のDNSサーバを狙う攻撃シナリオとしては、2007年頃に登場した「DNS Changer」のようにDNSサーバに侵入後、DNS設定を勝手に変更することにより、インターネットや組織内ネットワークの利用者を不正サイトへ誘導するなどが想定されます。また、組織内ネットワークでは通常ドメインコントローラがDNSサーバとしても構成されているため、侵入した攻撃者がLAN内のドメインコントローラを侵害するための手段として利用する可能性もあります。
このような脆弱性に関しては更新プログラム公開後に攻撃方法が確立されることも多いため、早期に攻撃が発生する可能性もあります。インターネットからアクセス可能なDNSサーバは、直ちにアップデートを行うことを強く推奨します。組織内ネットワークのサーバも同様に攻撃を受ける可能性がありますので、LAN内だからと言って放置せず、確実にアップデートしてください。また、Check Pointはこの脆弱性は17年前から存在するとしており、Windows Server 2003のような既にサポート終了済みのOSにも影響する可能性があります。古いOSを使用している場合にはこの機会に新しいOSへの移行を進めてください。アップデートや新しいOSの移行を速やかに行えない場合、脆弱性攻撃を防御するセキュリティ対策の導入やMicrosoftが勧める緩和策の適用を行ってください。
■その他の脆弱性
今回の「2020 年 7 月のセキュリティ更新プログラム」ではSIGRed脆弱性以外にも、.NET Framework、SharePoint Server、およびVisual Studio(CVE-2020-1147)、Windowsリモートデスクトップクライアント(CVE-2020-1347)、VBScript(CVE-2020-1403)など、悪用可能性指標「高」(悪用される可能性が高い)のRCE脆弱性が修正されています。マイクロソフトはいずれの脆弱性も現時点で悪用は確認されていないとしていますが、更新プログラム公開後に悪用方法が確立し攻撃が開始される事例も多いため、確実に適用することを推奨します。
■トレンドマイクロの対策
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」、総合サーバセキュリティ「Trend Micro™ Deep Security™ 」などでは、以下の DPIルールにより「2020 年 7 月のセキュリティ更新プログラム」で修正された脆弱性を利用する攻撃を検出します。
- 1010393 – Microsoft Internet Explorer VBScript Remote Code Execution Vulnerability (CVE-2020-1403)
- 1010394 – Microsoft Windows LNK Remote Code Execution Vulnerability Over SMB (CVE-2020-1421)
- 1010395 – Microsoft Windows LNK Remote Code Execution Vulnerability Over WebDAV (CVE-2020-1421)
- 1010397 – Microsoft Windows JET Database Engine Remote Code Execution Vulnerability (CVE-2020-1400)
- 1010398 – Microsoft SharePoint Scorecards Remote Code Execution Vulnerability (CVE-2020-1439)
- 1010399 – Microsoft SharePoint Scorecards Remote Code Execution Vulnerability (CVE-2020-1439) – 1
- 1010401 – Microsoft Windows DNS Server Remote Code Execution Vulnerability (CVE-2020-1350) – Server
- 1010402 – Microsoft Windows Remote Desktop Client Remote Code Execution Vulnerability (CVE-2020-1374)
- 1010403 – Microsoft Windows Font Parsing Remote Code Execution Vulnerability (CVE-2020-1355)
- 1010404 – Microsoft Windows PFB Font File Out-Of-Bounds Write Privilege Escalation Vulnerability (CVE-2020-1436)
- 1010406 – Microsoft Windows DNS Server Remote Code Execution Vulnerability (CVE-2020-1350) – Client
また、ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterにより攻撃を検出します。
- 37837: RDP: Microsoft Remote Desktop Integer Overflow Vulnerability
- 37838: HTTP: Microsoft Internet Explorer Type Confusion Vulnerability
- 37851: HTTP: Microsoft .NET Framework Insecure Deserialization Vulnerability
- 37877: HTTP: Microsoft Windows Address Book Contact File Parsing Integer Overflow Vulnerability
参考記事:
記事構成: 岡本 勝之(セキュリティエバンジェリスト)