やじうまの杜

今月修正されたWindows リモート デスクトップ ゲートウェイの凶悪な脆弱性、ハッカーが攻撃を実演

一刻も早い対応を

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

今月修正されたリモート デスクトップゲートウェイの凶悪な脆弱性、ハッカーが攻撃を実演

 2020年1月の月例セキュリティ更新プログラムで修正された「リモート デスクトップ接続」プロトコル(RDP)のゲートウェイで発見された脆弱性は、なかなかアブなそう……。Windowカーネルのハッカー(セキュリティ研究者)が実際にこの脆弱性を悪用し、リモートからファイルを作成する攻撃を実演しています。

 今回問題となっているのは、“CVE-2020-0609”および“CVE-2020-0610”とナンバリングされた脆弱性です。

 この脆弱性が問題なのは、“認証されていない攻撃者”が特別に細工を施したRDP要求を送信しただけで、リモートから任意のコードが“システム権限”で実行可能になってしまうこと。要するに、何でもできてしまいます。Microsoftによる脆弱性の深刻度評価は、最高の“Critical”。“CVSS v2”の基本値でも“10.0”、“CVSS v3”の基本値では“9.8”と評価されており、かなり深刻な問題なのがわかります。

 脆弱性の影響を受けるのは、以下のサーバーOS。既定ではポート 3391で行われるUDPトランスポートにのみ影響するとのこと(実演動画でもポート3391へパケットが送信されているのがわかりますね)。

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

 攻撃を実演したハッカーも、パッチの適用を忘れないように呼び掛けています。もしまだのサーバー管理者がいらっしゃいましたら、一刻も早い対応をお勧めします。