Protect Against Russia-Ukraine Cyber Activity

脅威に関する情報: マイクロソフトSMBv3にワーム化可能な脆弱性(CVE-2020-0796)

By and

Category: Threat Brief, Unit 42

Tags: ,

This post is also available in: English (英語)

概要

2020年3月、Microsoftはセキュリティ アドバイザリADV200005 | Microsoft Guidance for Disabling SMBv3 Compressionを公開しました。本脆弱性は新しいリモート コード実行(RCE)脆弱性に関するもので、同脆弱性はMicrosoft Server Message Block 3.0 (SMBv3)内に存在し、より具体的には不正な圧縮ヘッダに関連しています。圧縮ヘッダは2019年5月にSMBv3に追加された機能で、コンテキスト要求パケットのネゴシエーションを行います。認証されない悪用を成功させるには、攻撃者が脆弱性のあるSMBv3サーバーあての不正な圧縮ヘッダを含むSMBv3パケットを作成する必要があります。またSMBv3クライアントの場合は、ユーザーを誘導して、攻撃者自身の制御下においた侵害済みSMBv3サーバーに接続させる必要があります。Microsoftは本アドバイザリ公開時点では本脆弱性が実際に悪用された様子は確認されていないとしています。

本脆弱性はSMBv3および以下のMicrosoft Windowsオペレーティング システム(OS)のビルドのみに影響します。

  • Windows 10 ビルド 1903 および 1909 の32 ビット版、x64 版および ARM64 システム
  • Windows サーバー ビルド 1903 および 1909の32 ビット版、x64 および ARM64 システム

緩和策

Microsoftのセキュリティ アドバイザリで提供されている回避策のガイダンスを確認してください。クライアント側での緩和策としては、アウトバウンドあてのSMB送信をブロックするアウトバウンド ファイアウォール ルールをパブリック インターフェイスとプライベート インターフェイスに作成することをお勧めします。

結論

パロアルトネットワークスは、本エクスプロイトに対し、複数の保護を提供しています:

  • WildFire は、静的シグネチャによる検出でエクスプロイトを阻止します。
  • 次世代ファイアウォールは、パロアルトネットワークスのIPSセキュリティソリューションが本脆弱性を検出した場合に自動的にセッションを終了します。本脆弱性に関する脅威IDは57778と57775です。

パロアルトネットワークスはMicrosoft Active Protection Program (MAPP)のパートナーのため、本脆弱性に関する詳細を早期に受け取っています。これにより脅威についてより深く理解し、そこから得た知見を製品の保護提供に反映することができます。常に最新のセキュリティ更新を適用してマイクロソフト製品を最新の状態に保ち、本脆弱性を緩和することをお勧めします。

『脅威に関する情報』は新しい情報と推奨事項が入手されしだい更新されます。