X-Force

X-Force Red による SMBv3 に関するクリティカルな脆弱性 (EternalDarkness) の注意喚起 – CVE-2020-0796

記事をシェアする:

問題

IBM X-Force Red より、クライアント/サーバーの SMBv3 に対する、リモート攻撃の脆弱性 (CVE-2020-0796) が確認されたことをお伝えします。この脆弱性は 2020年3月10日に発見され、その後マイクロソフト社により 2020年3月12日に正式に確認されたものです。2020年3月12日にはマイクロソフト社からこの脆弱性に対する修正パッチがリリースされていますので、速やかに適用することを推奨します。現時点で修正パッチの適用が困難な場合は推奨するワークアラウンドを実施してください。

 

影響のあるWindows オペレーティングシステム

  • Windows 10, Version 1903 and 1909
  • Windows Server, version 1903 and 1909 (Server Core Installation)

脅威 – CVSS基本値: 10

Microsoft Server Message Block 3.1.1 (SMBv3) プロトコルが特定の要求を処理する方法に、リモートコードが実行される脆弱性があります。攻撃者がこの脆弱性を悪用した場合、標的に対しコードを実行できるようになる可能性があります。X-Force Red では、脆弱性 CVE-2020-0796 を利用した巧妙なエクスプロイトを広く利用できるようにしようとするいくつかの計画を確認しています。

 

解決策とワークアラウンド

マイクロソフト社推奨解決策
マイクロソフト修正パッチの適用 (2020年3月12日): https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

マイクロソフト社推奨ワークアラウンド

  • SMBv3 の圧縮の無効化を行い、認証されていない攻撃者がSMBv3 サーバに対して脆弱性の悪用をブロックする。ADV200005 | SMBv3 の圧縮の無効化に関する Microsoft ガイダンス(2020年3月10日): https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200005
  • 企業の境界ファイアウォールで TCP ポート 445 をブロックする(これは影響を受けるコンポーネントとの接続を開始に使用されるため)。この回避策を適用しても、企業の境界内からの攻撃に対しては無効です。

SMBv3 の圧縮を無効にする
SMBv3 の圧縮の無効化を行い、認証されていない攻撃者が SMBv3 サーバに対して以下の PowerShell コマンドを使い脆弱性の悪用をすることをブロックする。
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

 

検知

Qualys 社
2020年3月11日、Qualys社が以下をリリースしました。「QID 91614 – SMBv3 の圧縮の無効化に関する Microsoft ガイダンスの未適用 (ADV200005)」 この重要度 5 の QID では認証されたスキャンによる検知が必要です。2020年3月11日以降の資産に対するスキャンでは、このQIDに関する全弱性の情報が含まれています。

QID Detection Logic:Authenticated
このQIDでは smb v3 が有効で、以下のワークアラウンドのレジストリキーをチェックします:
“HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter” DisableCompression -Type DWORD -Value 1

 

Tenable社 (NESSUS)
2020年3月11日、Tenable社は本全弱性を検知する以下のプラグインをリリースしました。
https://www.tenable.com/plugins/nessus/134421
リモートのWindowsホストは脆弱なバージョンのSMBを使用。 (Nessus Plugin ID 134421)
https://www.tenable.com/plugins/nessus/134420
リモートのWindowsホストは脆弱なバージョンのSMBを使用。 (Nessus Plugin ID 134420)

 

マイクロソフト社から提供されている修正パッチを速やかに適用しましょう。現時点で修正パッチの適用が困難な場合には、推奨ワークアラウンドを実施しましょう。

 


【関連リンク】

IBM X-Force Exchange(XFE)へのアクセス
X-Force Red 侵入テスト

【お問い合わせ】

メールでのお問い合わせはこちらから

More X-Force stories
2020-09-25

ゲーム「TERMINAL」に挑戦: IBM社会貢献部門 井上真奈

もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は、ある巨大な国際空港が舞台。サイバー攻撃から国際空港を守るため、3つのステージを順にクリア […]

さらに読む

2020-09-18

サイバー攻撃に対するインシデント対応をゲームで体験「TERMINAL」丸わかりガイド

1 .TERMINAL ゲーム 体験レポート 2.「TERMINAL」に再チャレンジ!攻略ガイド公開 もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は […]

さらに読む

2020-09-15

2020年上半期 Tokyo SOC セキュリティー・インシデントの概要

IBM Tokyo SOCで観測したセキュリティー・インシデントをもとに、2020年上半期(1月~6月)に発生した攻撃の概要をご紹介します。

さらに読む