やじうまの杜
今月修正されたWindows リモート デスクトップ ゲートウェイの凶悪な脆弱性、ハッカーが攻撃を実演
一刻も早い対応を
2020年1月28日 16:20
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
2020年1月の月例セキュリティ更新プログラムで修正された「リモート デスクトップ接続」プロトコル(RDP)のゲートウェイで発見された脆弱性は、なかなかアブなそう……。Windowカーネルのハッカー(セキュリティ研究者)が実際にこの脆弱性を悪用し、リモートからファイルを作成する攻撃を実演しています。
Ladies and gentlemen, I present you a working Remote Code Execution (RCE) exploit for the Remote Desktop Gateway (CVE-2020-0609 & CVE-2020-0610). Accidentally followed a few rabbit holes but got it to work! Time to write a blog post ;)
— Luca Marcelli (@layle_ctf)January 26, 2020
Don't forget to patch!pic.twitter.com/FekupjS6qG
今回問題となっているのは、“CVE-2020-0609”および“CVE-2020-0610”とナンバリングされた脆弱性です。
- CVE-2020-0609 - Windows リモート デスクトップ ゲートウェイ (RD ゲートウェイ) のリモートでコードが実行される脆弱性
- CVE-2020-0610 - Windows リモート デスクトップ ゲートウェイ (RD ゲートウェイ) のリモートでコードが実行される脆弱性
この脆弱性が問題なのは、“認証されていない攻撃者”が特別に細工を施したRDP要求を送信しただけで、リモートから任意のコードが“システム権限”で実行可能になってしまうこと。要するに、何でもできてしまいます。Microsoftによる脆弱性の深刻度評価は、最高の“Critical”。“CVSS v2”の基本値でも“10.0”、“CVSS v3”の基本値では“9.8”と評価されており、かなり深刻な問題なのがわかります。
脆弱性の影響を受けるのは、以下のサーバーOS。既定ではポート 3391で行われるUDPトランスポートにのみ影響するとのこと(実演動画でもポート3391へパケットが送信されているのがわかりますね)。
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
攻撃を実演したハッカーも、パッチの適用を忘れないように呼び掛けています。もしまだのサーバー管理者がいらっしゃいましたら、一刻も早い対応をお勧めします。