Microsoftは米国時間3月12日、SMBv3プロトコルの脆弱性に対するパッチをリリースした。この脆弱性は今週初め、2020年3月の月例パッチ「Patch Tuesday」の正式公開前にオンラインで意図せずリークされたもの。
今回の修正が含まれる更新プログラムは「KB4551762」で、対象OSは「Windows 10」のバージョン1903と1909、そして「Windows Server 2019」のバージョン1903と1909。
この更新プログラムを適用することで、ファイルやプリンターなど、ローカルネットワークやインターネット上のリソースの共有に使われるプロトコル「Server Message Block(SMB)」に含まれる脆弱性「CVE-2020-0796(SMBGhost)」が修正される。
このバグは、SMBサービスが有効になっているリモートシステムに接続し、システム権限で悪意あるコードを実行することにより、脆弱なシステムを遠隔から乗っ取ることを可能にする。
今週初め、おそらくはMicrosoftとウイルス対策ベンダーの間の連絡ミスが原因で、このバグの詳細情報がオンラインに流出した。
ウイルス対策ベンダーは、このバグを悪用すれば2017年にランサムウェアの「WannaCry」や「NotPetya」が利用したような自己拡散能力を持つSMBワームを開発できるとしていた。
Microsoftは当初、3月の月例パッチで修正プログラムをリリースする予定ではなかったが、今回の情報流出を受けて、修正プログラムをリリースすることを余儀なくされた。
今回の修正はまさにすべりこみと言える。今週10日以降、筆者は複数の研究者から、わずか5分でSMBドライバーのコードのどこにバグが含まれるかを特定できたという報告を受けた。
簡単な実証デモを作成し、この脆弱性を利用して、脆弱なマシンをクラッシュさせる方法を見せてくれた研究者もいる。
Our Telltale research team will be sharing new insights into CVE-2020-0796 soon. Until then, here is a quick DoS PoC our researcher @MalwareTechBlog created. The #SMB bug appears trivial to identify, even without the presence of a patch to analyze. https://t.co/7opHftyDh0 @2sec4u pic.twitter.com/0H7FYIxvne
— Kryptos Logic (@kryptoslogic) March 12, 2020
Microsoftは、今回の脆弱性はWindows 10とWindows Server 2019(いずれも1903と1909の両方)のみに影響を与えるとしている。
サイバーセキュリティ会社のKryptos Logicは12日、SMBポートがインターネットにさらされており、このバグを利用した攻撃を受ける可能性のあるホストをインターネット上で約4万8000件特定したと発表した。
Microsoftは、今日のパッチをただちに適用できないユーザーのために、別のセキュリティアドバイザリーを用意し、影響を緩和するための詳細なアドバイスを提供している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
