11月12日の本ブログ記事にて、脆弱性「CVE-2019-0708」(通称「BlueKeep」)を利用する攻撃が初確認されたことについて述べました。本記事ではその続報をまとめます。確認された攻撃では、最終的なペイロードとして感染コンピュータにコインマイナーをインストールし不正マイニングを実行するものでした。脆弱性を放置することは直接の被害に繋がります。BlueKeep脆弱性に対する修正プログラムは既に5月に公開されています。自身の管理する環境における更新の有無を再確認し、まだ適用していない環境では直ちに更新を行うことを強く推奨いたします。
続きを読む5月中旬に確認された「CVE-2019-0708」の脆弱性(通称「BlueKeep」)はWindowsのリモートデスクトッププロトコル(RDP)の脆弱性であり、本ブログの記事でもその詳細について解説しています。この脆弱性の危険性については、Microsoftが「WannaCry」のような強力なワームの登場に繋がりかねないとして、既にサポート終了済みのWindows XP以前のOSに対しても更新プログラムを公開したほどでした。そして公表から5か月近くが経過した11月頭、ついにこの脆弱性を利用する攻撃が実際に発生していることが初めて報告されました。この攻撃の存在はリサーチャが運用するハニーポットネットワークのクラッシュにより、観測されたものです。「BlueKeep」脆弱性に関しては既に6月の時点で複数のセキュリティ団体により攻撃方法が確認されており、実際の攻撃は時間の問題とされていました。攻撃に関する報告では、更新プログラムがまだ適用されていない多くのレガシーシステムが、「BlueKeep」を悪用する攻撃キャンペーンのターゲットになっていることが明らかにされており、実被害としては、コインマイナーの侵入による不正マイニングが行われていました。
続きを読むMicrosoftは、2019年5月の月例セキュリティ情報において、リモート・デスクトップ・サービス(Remote Desktop Services、RDS)における脆弱性「CVE-2019-0708」を修正する更新プログラムを公開しました。「BlueKeep」とも呼ばれるこの脆弱性は、細工したメッセージを遠隔から対象のサーバに送信することで攻撃に利用可能です。この脆弱性を利用した攻撃に成功すると、管理者権限で任意のコードを実行できます。これはつまり、2017年に登場し現在に至るまで拡散を続けている「WannaCry」のように、自律的なワーム活動による自動的な拡散が容易に可能になることを意味します。外部のセキュリティ研究者の調査では、リモートデスクトップ機能が標準で使用するポート3389を露出させているデバイスが100万台近く存在していることが分かっており、攻撃発生の危険性が高まっています。前出の通り、既に本脆弱性に対する修正プログラムは公開済みですので、速やかに修正プログラムを適用することを推奨します。
続きを読む