Trusted Design

解説:

CVE-2020-0796は「SMBGhost」や「CoronaBlue」とも呼ばれる、Microsoft Server Message Block 3.1.1（SMBv3）プロトコルにおけるリモートコード実行の脆弱性です。

1. 脆弱性の概要

この脆弱性は、SMBv3が圧縮されたメッセージパケットを処理する方法に存在します。 攻撃者は、不正に細工したSMBv3圧縮ヘッダーを含むパケットを送信することで、SMBサーバー上で任意のコードを実行できます。 また、SMBクライアントが悪意のあるSMBサーバーに接続するように誘導された場合にも、同様にコードが実行される可能性があります。 この脆弱性は、SMBv3.1.1で導入された圧縮機能における、OriginalCompressedSegmentSizeフィールドの検証不備に起因する整数オーバーフローによって引き起こされます。

1.1 影響

認証されていないネットワーク経由の攻撃者が、細工したリクエストを送信することで、カーネルレベルの特権で任意のコードを実行できる可能性があります。 この脆弱性は「ワーム可能 (wormable)」な性質を持ち、EternalBlueやWannaCryのように自己増殖するマルウェアに悪用される危険性があると指摘されています。

1.2 深刻度

Microsoftはこの脆弱性を「Critical（緊急）」と位置付けています。 CVSS v3の基本スコアは10.0（最高値）と評価されており、非常に危険度が高いとされています。 CISA（サイバーセキュリティ・インフラセキュリティ庁）の既知の悪用されている脆弱性カタログにも追加されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、SMBv3.1.1プロトコルを使用している比較的新しいOSバージョンに影響します。具体的には以下のバージョンが影響を受けます。

• Windows 10 Version 1903 (x86, x64, ARM64)
• Windows 10 Version 1909 (x86, x64, ARM64)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

なお、Windows 10 Version 1809以前のWindows OSは影響を受けません。

2.2 影響を受ける設定

SMBv3プロトコルが有効で、特にSMBv3の圧縮機能が有効になっている環境が影響を受けます。 攻撃はTCPポート445を介して行われます。

3. 影響を受けた時の兆候

この脆弱性はリモートコード実行を可能にするため、攻撃が成功した場合、システム上で任意のコードが実行される可能性があります。 概念実証コードでは、バッファオーバーフローを引き起こし、OSのクラッシュ（ブルースクリーン）を発生させることが確認されています。 既に攻撃を受けている可能性がある場合は、不審なプロセス、ファイル、および通信が存在しないかを確認することが推奨されます。

4. 推奨対策

4.1 本対策

Microsoftは、この脆弱性を修正するセキュリティ更新プログラム（KB4551762など）を2020年3月12日に公開しています。 速やかに該当するパッチを適用することが最も推奨される対策です。

• Microsoft Security Response Center: CVE-2020-0796 | Windows SMBv3 クライアント/サーバーのリモートでコードが実行される脆弱性

4.2 暫定回避策（緩和策）

修正パッチの適用がすぐにできない場合のために、以下の回避策が推奨されています。

• SMBv3の圧縮処理を無効にする: PowerShellで以下のコマンドを実行することで、SMBサーバー側での圧縮を無効にできます。 powershell Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force この設定はシステム再起動を必要としません。
• SMBプロトコルに利用される445番ポートをブロックする: ネットワーク境界でTCPポート445からの受信接続をブロックすることで、外部からの攻撃を防ぐことができます。 内部のSMBトラフィックをセグメント化し、被害範囲を制限することも有効です。

参照したサイト

• CVE-2020-0796: Windows SMBv3 RCE Vulnerability - SentinelOne
• CVE-2020-0796 Detail - NVD
• Microsoft SMBv3におけるリモートコード実行の脆弱性（CVE-2020-0796）についての検証レポート
• CVE-2020-0796：Windows SMBにリモートコード実行の脆弱性 | カスペルスキー公式ブログ
• 脅威に関する情報: マイクロソフトSMBv3にワーム化可能な脆弱性(CVE-2020-0796) - Palo Alto Networks
• CVE-2020-0796 SMBGhost Remediation - vsociety - Vicarius
• 脆弱性 「SMBGhost」 の発生原因および攻撃手法に関する分析 | AhnLab
• Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起 - JPCERT/CC
• SMBv3の脆弱性（CVE-2020-0796）とマイクロソフト2020年3月の月例更新プログラムを解説 - マネージドセキュリティサービス
• 超過十萬台Windows 電腦仍存有極嚴重的SMBGhost 漏洞 - iThome
• マイクロソフト SMB の重大な脆弱性 (CVE-2020-0796) - Nozomi Networks
• Windows SMB Ghost (CVE-2020-0796) 漏洞分析 - 安全内参
• QiAnXinTI-SV-2020-0008 Microsoft Windows SMBv3.0服务远程代码执行漏洞（CVE-2020-0796）通告 - 奇安信威胁情报中心
• 安全通告丨Windows SMB远程代码执行漏洞安全通告（CVE-2020-0796） - 腾讯云
• 【复现】CVE-2020-0796(SMBv3远程代码执行)漏洞 - 良月二十's Blog
• Windows SMBv3 CVE-2020-0796 漏洞分析和漏洞复现 - 渗透测试中心 - 博客园
• CVE-2020-0796(SMBv3远程代码実行)漏洞复現 - 腾讯云
• CVE-2020-0796 SMB远程コード実行漏洞（分析 - CSDN博客
• Microsoft SMBv3 の脆弱性に関するアクセスの観測等について - 警察庁
• Security Update Guide - Microsoft Security Response Center
• Windows のSMBv3 の脆弱性(CVE-2020-0796)の分析 | reverse-eg-mal-memoのブログ