ニュース

17年前から存在 ~「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性

自己増殖して感染を広げる“ワーム”への悪用も考えられるため、優先的な対処を

「Windows Server」のDNS機能に17年前から存在した“SIGRed”脆弱性

 米Microsoftは7月14日(現地時間)、「Windows Server」のDNSサーバー機能にリモートコード実行(RCE)の脆弱性が存在することを明らかにした(CVE-2020-1350)。同日付けでリリースされた月例のセキュリティ更新プログラムで対処されている。

 本脆弱性を報告したのは、イスラエルのセキュリティベンダーCheck Pointの研究チーム。19年間も見つからずにいた圧縮・解凍ソフト「WinRAR」のゼロデイ脆弱性を発見したことで知られるが、今回報告されたMicrosoftによるDNS実装の脆弱性も、17年前の「Windows Server 2003」から存在したものであるという。Check Pointのセキュリティチームは、この脆弱性を“SIGRed”と呼称している。

 DNSは“sample.com”といった人間にもわかりやすいホスト名をIPアドレスに変換する役割を持ち、しばしば“インターネットの電話帳”とも表現される基本的なサービスだ。MicrosoftのDNS実装「Windows DNS Server」は「Active Directory」ドメイン環境に必須で広く使われているうえ、システム権限で動作しているため乗っ取られてしまう影響は計り知れない。

 また、ワーム可能(wormable)である点も“SIGRed”に警戒すべき理由の1つだ。ユーザーの操作を必要とせず、悪意のあるレスポンスを返すだけで任意のコードが実行できてしまうため、自己増殖して感染を広げる“ワーム”タイプのマルウェアに組み込まれる可能性がある。そうなれば2017年に世界中で猛威を振るったランサムウェア「WannaCry」の再来にもなりかねない。

 Check Pointのセキュリティチームによると、共通脆弱性評価システム“CVSS”の基本値は“10.0”。Microsoftは現在のところ本脆弱性の悪用はないとしているが、すべての「Windows Server」に対し優先的なパッチ適用を推奨。それが不可能な場合は、「KB4569509」で案内されているレジストリベースの回避策を適用するよう呼び掛けている。