脆弱性
Microsoftは先日、Windows DNS サーバーに脆弱性(CVE-2020-1350)が存在することを明らかにしました。共通脆弱性評価システムCVSSのスコアが10という、重大な脆弱性です。ただし、この脆弱性を悪用可能なのはシステムがDNSサーバーモードで動作している場合に限られるため、影響を受ける可能性のあるコンピューターは比較的少ないと考えられます。Microsoftからは、すでにパッチと回避策が公開されています。
脆弱性の内容と、その危険性
CVE-2020-1350は、Windows Serverが稼働するDNSサーバーに、リモートからコードを実行させる(Remote Code Excution:RCE)ことが可能な脆弱性です。特別に作成したリクエストをDNSサーバーへ送信するだけで、この脆弱性の悪用が可能です。
送り込まれたコードは、LocalSystemアカウントの元で実行されます。このアカウントはローカルコンピューターに対して広範な権限を持ち、ネットワーク上にあるコンピューターとして動作し、セキュリティサブシステムによって認識されません。Microsoftは、この脆弱性を「ワーム可能」な脆弱性であるとしており、ローカルネットワーク全体への脅威拡大に利用される可能性があると説明しています。
CVE-2020-1350の影響範囲
この脆弱性を抱えるのはWindows Serverの全バージョンですが、DNSサーバーモードで動作している場合に限られます。DNSサーバーを自社で持っていない場合、または別のOSのDNSサーバーを利用している場合には、影響を受けません。
この脆弱性はCheck Point Researchによって発見されました。幸いなことに現時点では悪用方法に関する公開情報は見られません。また、現時点では、CVE-2020-1350が攻撃に悪用されたという証拠は見つかっていません。
しかし、Microsoftがシステムのアップデートを呼びかけた直後から、脆弱性を悪用しようと、サイバー犯罪者たちが脆弱なDNSサーバーとセキュリティ更新プログラムを詳しく調査し始めた可能性は大いに高いと考えられます。セキュリティ更新プログラムの速やかな適用が求められます。
取るべき対策
先にも述べたとおり、最善策はMicrosoftからリリースされているセキュリティ更新プログラムを適用することです。適用することで、DNSサーバーによるリクエスト処理方法が変更されます。以下OSに対するセキュリティ更新プログラムが公開されています。プログラムはMicrosoftによるCVE-2020-1350の詳細ページからダウンロード可能です。
Windows Server 2008
Windows Server 2012
Windows Server 2016
Windows Server 2019
Windows Server バージョン 1903
Windows Server バージョン 1909
Windows Server バージョン 2004
しかし、ソフトウェアのアップデートに関する社内ルールおよび手続きが存在する企業では、ただちに更新プログラムを適用できない場合があります。Microsoftは、そのような場合の回避策として、システムレジストリに以下の変更を加える方法を紹介しています。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00
変更を保存した後で、サーバーを再起動する必要があります。この回避策の注意点は、65,280バイトを超えるTCPパケットをサーバーが受け取った場合(レアケースではありますが)、サーバーが正しく機能しない可能性がある点です。したがってMicrosoftは、セキュリティ更新プログラムを適用したら、TcpReceivePacketSizeキーとその値を削除してレジストリキーを元に戻すことを推奨しています。
当社からお伝えしたいのは、自社インフラ内で動作するDNSサーバーもまた、エンドポイントコンピューターと同様にコンピューターであるということです。したがって、サイバー犯罪者が悪用を試みるような脆弱性が存在する可能性があります。したがって、ネットワーク上のエンドポイントと同様に、サーバー向けのセキュリティソリューション(Kaspersky Endpoint Security for Businessなど)の導入をお勧めします。
ヒント