CVE-2020-0796:SMBプロトコルの新たな脆弱性

SMBv3にリモートコード実行の脆弱性(CVE-2020-0796)が見つかりました。Microsoftより修正パッチが提供されています。

2020313日更新:Microsoftより修正パッチがリリースされました。「対策」セクションにリンクを追加しました。

Windows 10およびWindows Server にリモートコード実行の脆弱性(CVE-2020-0796)が存在し、Microsoft Server Message Block 3.1.1(SMBv3)が影響を受けることが判明しました(英語)。Microsoftによると、この脆弱性を利用してSMBサーバーまたはSMBクライアントで任意のコードが実行可能となります。サーバーに対しては、特別に作成したパッケージをサーバーへ送るだけで攻撃可能であり、クライアントに対しては、悪意あるSMBv3サーバーを構成してそのサーバーへアクセスさせることで攻撃可能です。

サイバーセキュリティのエキスパートらは、この脆弱性がWannaCryと似たワームの感染に使われる可能性があると見ています。Microsoftはこの脆弱性を「Critical(緊急)」と位置づけており、できるかぎり速やかな対応が求められます。

影響範囲

SMBはファイルやプリンターなどのネットワークリソースへリモートアクセスするためのネットワークプロトコルで、Microsoft Windowsネットワークでのファイル共有やプリンター共有に使用されています。これらの機能を使用している企業は、脆弱性の影響を受けます。

Microsoft Server Message Block 3.1.1は比較的新しいプロトコルであるため、新しいOSで使用されています。

  • Windows 10 バージョン 1903 (32ビット版)
  • Windows 10 バージョン 1903(ARM64版)
  • Windows 10 バージョン 1903(x64版)
  • Windows 10 バージョン 1909(32ビット版)
  • Windows 10 バージョン 1909(ARM64版)
  • Windows 10 バージョン 1909(x64版)
  • Windows Server バージョン 1903(Server Coreインストール版)
  • Windows Server バージョン 1909(Server Coreインストール版)

この脆弱性はWindows 7、Windows 8、Windows 8.1またはそれ以前のバージョンには影響しません。ただし、更新の自動アップデート機能を持つ最新のコンピューターではWindows 10が稼働していることが多いため、家庭および企業の相当数のコンピューターが影響を受ける可能性があります。

CVE-2020-0796は攻撃者によってすでに使われているのか

Microsoftによると、CVE-2020-0796の脆弱性は今のところ攻撃には使用されていません(少なくとも、使用は観測されていません)。しかし、現在CVE-2020-0796に対する修正パッチが存在せず、一方で、この脆弱性の情報は3月10日から公になっています。こうした状況から、この脆弱性を悪用するエクスプロイトはいつ現れてもおかしくないと考えられます。

対策

3月12日、Microsoftはこの脆弱性を修正するセキュリティ更新プログラムを公開しました。詳しくは、こちらのページをご覧ください。

以下は、セキュリティ更新プログラム公開前の時点での推奨事項です。

SMBサーバーの場合:

  • 以下のPowerShellコマンドを使用して、この脆弱性の悪用を阻止する。

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

SMBクライアントの場合:

  • WannaCryの時と同様に、企業境界のファイアウォールでTCPポート445を閉じる。

このほか、脆弱性に対する攻撃を阻止する機能を持つセキュリティソリューションの使用をお勧めします。Kaspersky Endpoint Security for Businessにはその機能が搭載されており、未知の脅威から企業システムを保護することができます。

ヒント