Microsoft は、2014年11月18日(米国時間)、定例外セキュリティ情報「MS14-068」を公開しました。これは、Windows のさまざまなバージョンの「Kerberos」の実装に存在する脆弱性に対応したものです。このセキュリティ情報によると、この脆弱性はすでに「限定的な標的型攻撃」で利用されています。こうした状況と、Microsoft がこの脆弱性を深刻であると判断し、定例外セキュリティ情報として公開したことを考慮すると、ユーザは直ちに更新プログラムを適用すべきでしょう。
「Kerberos」は、ネットワーク内のユーザを認証するために利用されるプロトコルです。脆弱性「CVE-2014-6324」を利用することにより、攻撃者はドメイン管理者アカウントの特権に昇格させることができるようになります。そして、ドメインサーバを含む、このドメインに接続するすべてのシステムに侵入するために利用される可能性があります。
これは、標的型攻撃に利用されやすい深刻な脆弱性です。ネットワークに侵入するために攻撃者は別の手法を利用する必要がありますが、一度侵入すれば、この脆弱性を利用して企業のドメインサーバに接続するすべての機器を侵害する恐れがあります。
この脆弱性が正しく利用された場合、企業のネットワーク内を縦横無尽に動きまわるために現在利用されているツールと同じ効果をもたらします。Microsoft は更新プログラムを提供していますが、それ以外の回避策や軽減策は明確に打ち出されていません。なお、この脆弱性を利用した攻撃を実行するためには、有効なドメイン資格情報を事前に入手していることが条件となります。攻撃者がすでにネットワークに侵入していた場合、これは難しいことではありません。
企業のドメインサーバが侵害された場合、攻撃者が与えるダメージは非常に深刻なものとなるでしょう。最悪の場合、ドメイン全体を始めから構築しなおさなければならなくなります。これは企業にとって、時間的にも費用的にも非常に高くつくことになるでしょう。
Microsoft はこの脆弱性が標的型攻撃に利用されたことを確認しており、「この脆弱性を悪用しようとする限定的な標的型攻撃を確認していた」と述べています。この脆弱性が存在するという事実と、更新プログラムが提供されたということを考えると、弊社では今後この脆弱性を利用した攻撃がさらに確認されると予想しています。
この脆弱性は、Windows Server 2003 以降のサポートライフサイクル中のすべてのバージョンに存在します。弊社は、管理者が該当するすべてのシステムに更新プログラムを直ちに適用することを推奨します。Windows のクライアントバージョンに対して更新プログラムが提供されていますが、これは「多層防御」の更新で脆弱性に対処するものではありません。
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)