脅威に関する情報: Windows CryptoAPI にスプーフィングの脆弱性 (CVE-2020-0601)

This post is also available in: English (英語)

概要

2020年1月、新年最初の月例セキュリティ更新プログラムにMicrosoftは17個の新しい脆弱性に対する修正をリリースしました。その中にはCurveballとして知られるCVE-2020-0601も含まれていました。本脆弱性は、Windows CryptoAPI(Crypt32.dll)に存在していますが、具体的にはElliptic Curve Cryptography(楕円曲線暗号、ECC)証明書の検証に使用される方法に関連したものです。リリース時点で同社は本脆弱性が実際に悪用されている様子はこれまで確認されていないとしています。リサーチャーのTal Be’ery氏は、「Win 10 Crypto Vulnerability: Cheating in Elliptic Curve Billiard 2 (Windows 10 に暗号関連の脆弱性: 楕円曲線ビリヤードを出し抜く方法その2)」というタイトルのブログで同脆弱性について詳細に説明しています。

回避・緩和策

同社の提供したセキュリティ更新プログラムには、標準的なオペレーティングシステム関連の修正にくわえ、新しいアプリケーションプログラミングインターフェイス(API)の機能が追加されていました。この新しい API であるCveEventWrite関数を利用すると、ユーザーモードのアプリケーションがセキュリティ上の脆弱性を悪用する試みを発生させたさいにイベントを発行することができます。アナリストはセキュリティ更新プログラムを適用したシステム上でアプリケーションメッセージ「CVE-2020-0601」のアラートを収集することで本脆弱性を悪用しようとする試みを探索することができます。

なお、Chromeブラウザを利用しているユーザーも、バージョンを最新版 (本稿執筆次点では79.0.3945.130) に更新することをお勧めします。Chrome は最近、TLSの問題を修正するためのアップデートをリリースしています。

結論

パロアルトネットワークスは、Microsoft Active Protection Program (MAPP)のパートナーです。このため本脆弱性に関する詳細を早期に受け取ることができ、脅威についてより深く理解し、そこから得た知見を製品による保護の提供に反映することができました。

本脆弱性から自組織を保護するいちばんの方法は Microsoft 製品を最新の修正プログラムで最新状態に保つことですす。

現時点でWildFireをご利用中のお客様は、静的シグネチャによる検出で保護されています。また修正が適用されたシステム上でCortex Agentを稼働中のお客様は、悪用の試みがあればCveEventWriteイベントアプリケーションメッセージが発行され同イベント関連のアラートを受け取ります。

Cortex Agent は、振る舞いベースの脅威保護機能を利用し、エンドポイント上の活動を継続監視しています。また、イベントごとにアラートを送信するのではなく、因果連鎖として知られるイベントチェーンを特定・分析しています。これにより、Cortex Agent は、個別にイベントを検査しただけでは正当なものと誤って判定されかねないイベントチェーン内の悪意のある活動をも検出することができます。因果連鎖には、エンドポイント上のネットワーク、プロセス、ファイル、レジストリに関する活動の任意のシーケンスを含めることができます。

さらにパロアルトネットワークスの次世代ファイアウォールをSSL復号のベストプラクティスにもとづいて使用し、信頼できない発行者が署名した証明書によるセッションをブロックされているお客様は、本脆弱性公開初日時点からこの脆弱性に対して保護されています。

パロアルトネットワークスは、新しい情報や推奨事項が利用可能になり次第、本稿を更新します。

参考資料:

CVE-2020-0601: The ChainOfFools/CurveBall Attack Explained POC (CVE-2020-0601:ChainOfFools/CurveBall 攻撃の説明PoC)

Win10 Crypto Vulnerability: Cheating in Elliptic Curve Billiards 2 (Windows 10 に暗号関連の脆弱性: 楕円曲線ビリヤードを出し抜く方法その2)

NSA Cybersecurity Advisory (NSA によるセキュリティアドバイザリ)