Trusted Design

解説:

CVE-2019-0708は、「BlueKeep」という通称で知られる、Microsoftのリモートデスクトップサービス（RDS）における深刻なリモートコード実行の脆弱性です。

1. 脆弱性の概要

1.1 影響

認証されていない遠隔の攻撃者が、リモート デスクトップ プロトコル (RDP) を介して標的のシステムに細工されたリクエストを送信することで、任意のコードを実行する可能性があります。この脆弱性はユーザー認証の前段階で発生し、ユーザーの操作を必要としません。攻撃に成功した場合、攻撃者は標的のシステムでプログラムのインストール、データの表示・変更・削除、またはすべてのユーザー権限を持つ新しいアカウントの作成を行うことができます。また、この脆弱性には「ワーム可能」な特性があり、2017年のWannaCryのようなマルウェアと同様に、感染したコンピューターから他の脆弱なコンピューターへと自動的に拡散する可能性があります。

1.2 深刻度

Microsoftは、この脆弱性を「緊急 (Critical)」と評価しています。CVSSスコアは、基本値で9.8、現状値で8.8とされています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性の影響を受ける主なWindows OSバージョンは以下の通りです。 * Windows 2000 * Windows XP (SP3 x86、Professional x64 Edition SP2、Embedded SP3 x86を含む) * Windows Vista (SP2、x64 Edition SP2を含む) * Windows 7 (SP1を含む) * Windows Server 2003 (SP2 x86、x64 Edition SP2、R2 SP2、R2 x64 Edition SP2を含む) * Windows Server 2008 * Windows Server 2008 R2

なお、Windows 8、Windows 10、Windows 11、およびWindows Server 2012以降のバージョンはこの脆弱性の影響を受けません。

2.2 影響を受ける設定

• リモートデスクトップサービス (RDS、旧称ターミナルサービス) が有効になっているシステム。
• 特に、RDPがインターネットに直接公開されているシステムは高いリスクにさらされます。
• ネットワークレベル認証 (NLA: Network-level authentication) が無効になっている場合。

3. 影響を受けた時の兆候

• BlueKeepの初期の公開エクスプロイトは、システムが「ブルースクリーンオブデス (BSOD)」エラーを引き起こすことが知られていました。
• 大規模な攻撃キャンペーンでは、暗号通貨マイニングを試みるなどの不正な活動が報告されています。
• 一般的に、リモートコード実行が成功した場合、攻撃者によってシステムが制御されていることを意味し、不正なプログラムのインストール、データの改ざん、新しいユーザーアカウントの作成など、様々な異常な動作が発生する可能性があります。

4. 推奨対策

4.1 本対策

Microsoftから提供されているセキュリティ更新プログラム (パッチ) を、対象となるすべてのシステムにできるだけ早く適用することが強く推奨されます。Microsoftは、サポートが終了しているWindows XPやWindows Server 2003などに対しても、この脆弱性に対応するための異例の更新プログラムを公開しています。

4.2 暫定回避策（緩和策）

セキュリティ更新プログラムの適用が困難な場合は、以下の緩和策を検討してください。 * リモートデスクトップサービス (RDP) の無効化: RDPが不要な場合は、サービスを完全に無効にすることで、脆弱性の悪用を防ぐことができます。 * ファイアウォールでのポートブロック: ファイアウォールでTCPポート3389 (RDPが使用するポート) への受信ネットワークトラフィックをブロックする。 * ネットワークレベル認証 (NLA) の有効化: 影響を受けるシステムでNLAを有効にすることで、認証されていない攻撃者が脆弱性を悪用するのを阻止できます。 * VPNの利用: 内部のRDPサーバーにアクセスする場合、VPNを介した接続を必須とすることで、外部からの直接攻撃を防ぎます。 * 多要素認証の適用: RDPサービスをホストしているマシンに対し、多要素認証などの追加の認証コントロールを適用する。 * システム隔離: セキュリティ更新プログラムを適用できないシステムは、制限されたVLANに隔離するなどして、ネットワーク上のアクセスを制限する。 * OSのアップグレード: 可能であれば、影響を受けないWindows 8/10/11またはWindows Server 2012+などの新しいOSバージョンにアップグレードすることを検討してください。

参照したサイト

• BlueKeep - Wikipedia
• Exploitation of Windows RDP Vulnerability CVE-2019-0708 (BlueKeep) - Palo Alto Networks
• 米政府が脆弱性「BlueKeep」を警告、Windows 7など古いOSを使い続けているユーザーはセキュリティアップデートを - INTERNET Watch
• Microsoft RDP RCE (CVE-2019-0708) (BlueKeep) (uncredentialed check) - Tenable
• ついに「BlueKeep」脆弱性を利用する攻撃が登場、早急な更新を - Trend Micro
• CVE-2019-0708： リモートデスクトッププロトコルおよびリモートコード実行 #Bluekeep - Fortinet
• (日本語訳) CVE-2019-0708 (BlueKeep) pre-auth RCE POC on Windows7 - リクルート テックブログ
• リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について(追加情報) - JPCERT/CC
• リモートデスクトップサービスにおける脆弱性 CVE-2019-0708 について - JPCERT/CC
• CVE-2019-0708: リモート デスクトップ サービスのリモートでコードが実行される脆弱性 (BlueKeep) - Sophos Support
• Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019 - Microsoft Support
• Security Advisory: BlueKeep - Microsoft Remote Code Execution Vulnerability (CVE-2019-0708) | Keysight
• CVE-2019-0708 のユーザー向けガイダンス | リモート デスクトップ サービスのリモートでコードが実行される脆弱性 - Microsoft Support
• 【エバンジェリスト・ボイス】近い将来、BlueKeepの脅威は到来するのか ～脆弱性の概要と備え - IIJ
• Windows CVE-2019-0708（BlueKeep）エクスプロイト解説：RDP PDUを使用してカーネルにデータを書き込む3つの方法 - Palo Alto Networks
• セキュリティ対策 Windowsの脆弱性”Bluekeep”への対処をおすすめします - データ復旧センター
• CVE-2019-0708：Windows RDP服务蠕虫级漏洞预警 - 360CERT
• CVE-2019-0708 Detail - NVD - National Institute of Standards and Technology
• 【漏洞预警】微软远程桌面服务远程代码执行漏洞（CVE-2019-0708)预警通告 - 腾讯云
• CVE-2019-0708漏洞复现与防御全解析_文心快码 - Comate
• 【漏洞預警】微軟Windows遠端桌面服務存在安全漏洞，允許攻擊者遠端執行任意程式碼 - 交通大學 計算機與網路中心