マイクロソフト社は3月10日、Microsoft Server Message Block 3.1.1(SMBv3)に影響を及ぼすリモートでコードが実行される脆弱性CVE-2020-0796について、重要度の高いセキュリティ勧告を発表した。
この脆弱性は、有名なランサムウェアであるWannaCryや NotPetyaと同じカテゴリーに属する。これらのマルウェアプログラムは世界中に自動的に拡散し、運輸・物流(マースク3億ドル)、製薬製造(メルク6億7000万ドル)など、幅広い産業でコストのかかる機能停止につながった。
現在のところ、この新しい脆弱性を悪用するコードは公開されていないが、資産所有者は、直ちにパッチを当てるか、他の緩和策を導入して業務を保護することが重要である。
広範なマイクロソフト・ウィンドウズ・アプリケーションに脆弱性
CVE-2020-0796 は、Microsoft Server Message Block 3.1.1 (SMBv3) に影響を及ぼすリモートコード実行の脆弱性です。この脆弱性は、SMB パケットを処理する srv2.sys カーネルドライバの解凍関数における整数オーバーフローが原因です。
認証されていない攻撃者は、特別に細工したパケットを送信することで、脆弱なSMBサーバーを悪用することができる。さらに、悪意のあるSMBサーバーに接続するSMBクライアントも脆弱である。
影響を受けるWindowsのバージョンは以下の通り:
- 32ビット版Windows 10 バージョン1903
- ARM64ベースのシステム向けWindows 10 バージョン1903
- Windows 10 バージョン1903(x64ベースシステム用
- 32ビット版Windows 10 バージョン1909
- ARM64ベースのシステム向けWindows 10 バージョン1909
- Windows 10 バージョン1909(x64ベースシステム用
- Windows Server、バージョン1903(Server Coreのインストール)
- Windows Server、バージョン1909(Server Coreのインストール)
脆弱なOT 、今すぐ行動を起こそう。IoT Networks
マイクロソフトでは、SMBサーバーの悪用を防ぐために、以下の回避策を適用することを推奨しています:
Set-ItemProperty -Path "HKLM:◆SYSTEMCurrentControlSet ◆Services ◆LanmanServer ◆Parameters" DisableCompression -Type DWORD -Value 1 -Force
さらに、外部からの攻撃からシステムを保護するために、ネットワーク境界でTCPポート445をブロックすることが推奨される。
3月12日、マイクロソフトはこの脆弱性を修正する更新プログラム(KB4551762)をリリースした:
その他の対策は以下の通り:
- インターネット/公衆向けSMB接続をブロックする
- サーバー側のSMBv3圧縮を無効にする
サイバーOT 、IoT セキュリティと信頼性を向上させる方法
もちろん、Windowsマシンにパッチを当てたり保護したりするには、それらを特定する必要がある。基本的なベスト・プラクティスは、デバイス、オペレーティングシステム、バージョン番号、既知の脆弱性を特定する最新の資産インベントリーを持つことである。これを迅速かつ自動的に行うソリューションがある。
さらに、継続的に更新される脅威と脆弱性のインテリジェンスにより、平均検出時間(MTTD)と平均対応時間(MTTR)の両方を短縮することができます。これにより、脅威を排除または封じ込め、OT/IoT 環境を保護するための最善の機会が得られます。
このNozomi Networks Threat Intelligenceサービスが更新され、CVE-2020-0796 に脆弱な資産が検出されるようになりました。お客様は、脆弱性のある資産を Guardian脆弱性タブの下にあります。
さらに、脆弱性を詳細に調査し、CVE-2020-0796に関連する悪用の試みをリアルタイムで検出するための正確な保護をThreat Intelligence に追加しました。
最後に、これは重大な脆弱性であり、OT 、IoT のネットワークを持つすべての組織にとって、防御措置を講じることが重要であることを強調したい。
