これは、最近修正されたセキュリティパッチに関連する重要なセキュリティ勧告です。 クリティカル Microsoft Windows リモートデスクトップサービス (RDP) におけるリモートコード実行の脆弱性。この脆弱性は、 「CVE-2019-0708 – リモートデスクトップサービスのリモートコード実行の脆弱性」
MSRCブログ 言及
この脆弱性は事前認証であり、ユーザーの操作は必要ありません。 言い換えれば、この脆弱性は「ワーム化可能」であり、 この脆弱性を悪用する将来のマルウェアは、2017 年に世界中に拡散した WannaCry マルウェアと同様に、ある脆弱なコンピュータから別の脆弱なコンピュータへと拡散する可能性があります。 この脆弱性を悪用した事例は確認されていませんが、悪意のある攻撃者がこの脆弱性を悪用したエクスプロイトを作成し、マルウェアに組み込む可能性が非常に高いと考えられます。
この脆弱性は特別なケースであり、マイクロソフトはWindows 2003とWindows XPにもこの脆弱性を修正した。 サポートの終了 かなり昔のことです。
この脆弱性がなぜ重大なのでしょうか?
- これは事前認証の脆弱性であり、認証を必要としません。攻撃者は、脆弱な標的のネットワークにアクセスするだけで、この脆弱性を悪用できます。
- 攻撃が成功すると、攻撃者はターゲットシステム上で任意のコードを実行し、最終的にはシステムを完全に制御できるようになります。
- 与えられた 「虫食い」 この脆弱性の性質上、ホストが一度感染すると、同じネットワーク内の他の脆弱なホストに非常に速く感染する可能性があります。
- Microsoft は、すでにサポートが終了している古いバージョンの Windows にパッチを当てるために特別な努力を払いました。
- この脆弱性は、 RDP ポート3389。 www[.]shodan[.]io RDP ポートがインターネットに開かれているホストが 4 万近くあることがわかります。
図1 – インターネットにRDPポートが開いているホストを示すShodanの結果
あなたはどうすればいいの?
毎回 マイクロソフトの勧告 そして他のオンラインソースによると、この脆弱性は NOT このブログを公開した時点では、実際に悪用されているケースが数多く確認されています。しかしながら、ビジネスリスクを考慮し、以下の影響を受けるWindowsバージョンをご利用の場合は、直ちにシステムにパッチを適用することを強くお勧めします。
– マイクロソフト Windows 7 SP1
– Windows Server 2008 SP2
– Windows Server 2008 R2 – SP1
– Windows XP(すべてのバージョン)
– Windows Server 2003 SP2
Microsoft が提供するセキュリティ更新プログラムをすぐに適用できない場合は、公式パッチが適用されるまで、脆弱なホスト上のリモート デスクトップ サービスを無効にすることを検討する必要があります。
弊社の脅威調査チームはこの脅威を積極的に監視しており、この投稿を随時更新していきます。
コンテンツ提供:
パヴァン・ソラット・セキュリティラボ
