X-Force

X-Force Red による SMBv3 に関するクリティカルな脆弱性 (EternalDarkness) の注意喚起 – CVE-2020-0796

2020-03-19

カテゴリー Tokyo SOC Report | X-Force | アナウンスメント | セキュリティー・インテリジェンス

記事をシェアする:

問題

IBM X-Force Red より、クライアント/サーバーの SMBv3 に対する、リモート攻撃の脆弱性 (CVE-2020-0796) が確認されたことをお伝えします。この脆弱性は 2020年3月10日に発見され、その後マイクロソフト社により 2020年3月12日に正式に確認されたものです。2020年3月12日にはマイクロソフト社からこの脆弱性に対する修正パッチがリリースされていますので、速やかに適用することを推奨します。現時点で修正パッチの適用が困難な場合は推奨するワークアラウンドを実施してください。

 

影響のあるWindows オペレーティングシステム

  • Windows 10, Version 1903 and 1909
  • Windows Server, version 1903 and 1909 (Server Core Installation)

脅威 – CVSS基本値: 10

Microsoft Server Message Block 3.1.1 (SMBv3) プロトコルが特定の要求を処理する方法に、リモートコードが実行される脆弱性があります。攻撃者がこの脆弱性を悪用した場合、標的に対しコードを実行できるようになる可能性があります。X-Force Red では、脆弱性 CVE-2020-0796 を利用した巧妙なエクスプロイトを広く利用できるようにしようとするいくつかの計画を確認しています。

 

解決策とワークアラウンド

マイクロソフト社推奨解決策
マイクロソフト修正パッチの適用 (2020年3月12日): https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

マイクロソフト社推奨ワークアラウンド

  • SMBv3 の圧縮の無効化を行い、認証されていない攻撃者がSMBv3 サーバに対して脆弱性の悪用をブロックする。ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス(2020年3月10日): https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200005
  • 企業の境界ファイアウォールで TCP ポート 445 をブロックする(これは影響を受けるコンポーネントとの接続を開始に使用されるため)。この回避策を適用しても、企業の境界内からの攻撃に対しては無効です。

SMBv3 の圧縮を無効にする
SMBv3 の圧縮の無効化を行い、認証されていない攻撃者が SMBv3 サーバに対して以下の PowerShell コマンドを使い脆弱性の悪用をすることをブロックする。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

 

検知

Qualys 社
2020年3月11日、Qualys社が以下をリリースしました。「QID 91614 – SMBv3 の圧縮の無効化に関する Microsoft ガイダンスの未適用 (ADV200005)」 この重要度 5 の QID では認証されたスキャンによる検知が必要です。2020年3月11日以降の資産に対するスキャンでは、このQIDに関する全弱性の情報が含まれています。

QID Detection Logic:Authenticated
このQIDでは smb v3 が有効で、以下のワークアラウンドのレジストリキーをチェックします:
“HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter” DisableCompression -Type DWORD -Value 1

 

Tenable社 (NESSUS)
2020年3月11日、Tenable社は本全弱性を検知する以下のプラグインをリリースしました。
https://www.tenable.com/plugins/nessus/134421
リモートのWindowsホストは脆弱なバージョンのSMBを使用。 (Nessus Plugin ID 134421)
https://www.tenable.com/plugins/nessus/134420
リモートのWindowsホストは脆弱なバージョンのSMBを使用。 (Nessus Plugin ID 134420)

 

マイクロソフト社から提供されている修正パッチを速やかに適用しましょう。現時点で修正パッチの適用が困難な場合には、推奨ワークアラウンドを実施しましょう。

 

【関連リンク】

IBM X-Force Exchange(XFE)へのアクセス
X-Force Red 侵入テスト

【お問い合わせ】

メールでのお問い合わせはこちらから


前の記事

OT、IoT、IoMT へと攻撃対象の拡大に対応した脅威マネジメント

次の記事

テレワークの導入検討や拡張要求に情シス部門はいかに対応できるか
More X-Force stories

セキュリティー・インテリジェンス

2024-02-27

大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状

この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]

さらに読む

セキュリティー・インテリジェンス

2023-02-22

IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください

架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]

さらに読む

セキュリティー・インテリジェンス

2022-03-17

ゼロトラスト・セキュリティーの実現に向けたSASE導入ポイント

  1. はじめに Tokyo2020に向けて一部の企業がリモートワークを推進してきましたが、2020年初頭からCOVID-19の流行によりテレワークのニーズが急速に高まったのは記憶に新しいと思います。 またそ […]

さらに読む