2020 年 1 月 14 日 Emil Hozan 著

一般ユーザまたは Windows Server の管理者としてとして現行のマイクロソフトのソフトウェア製品を使用していたり、リモートデスクトッププロトコル（RDP）をなんらかの形で使用していたり、あるいは CryptoAPI を使用するソフトウェアプログラムを使用している場合は、速やかにパッチを適用することをお勧めします。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、マイクロソフトがリリースした RDP に対する 3 つの緊急のパッチと、CryptoAPI の重要なパッチについて注意を喚起しています。そのアラート（AA20-014A）では、CryptoAPI スプーフィングの脆弱性である CVE-2020-0601、およびクライアント側とサーバ側の両方の RDP に関連する CVE-2020-0609、CVE-2020-0610、CVE-2020-0611 の詳細を提供しています。現在のところ、実環境でこれらの問題が悪用されたケースは確認されていません。

CVE-2020-0601 は極めて危険な脆弱性で、偽造されたコード署名証明書を使用することで、悪意のある実行可能ファイルが信頼できるソースからのファイルであるように偽装できます。なりすまし攻撃は決して軽視すべきではありません。しかも悪いことに、この脆弱性についてユーザはまったく気付くことができません。少なくともメールのなりすましの場合であれば、メールが正規であるかどうかを確認する方法はいくつかあります。攻撃が成功すると、中間者攻撃や機密情報の解読を許してしまう可能性があります。

CVE-2020-0609 および CVE-2020-0610 は Windows リモートデスクトップゲートウェイ（RD ゲートウェイ）のリモートコード実行に関する脆弱性です。認証されていない攻撃者が、RDP を使用して特別に生成されたリクエストを送信することでシステムに接続できるようになります。ここではユーザによる操作は不要です。悪用に成功すると、攻撃者は任意のコードを実行し、プログラムをインストールし、特権アカウントを作成することさえできます。

CVE-2020-0611 は、クライアント側の RDP が、悪意のあるサーバに接続するときの処理方法に影響します。一見大きな問題ではなさそうですが、CryptoAPI スプーフィングや電子メールスプーフィングの脅威が悪用されると攻撃を受けていることがわからなくなる場合があります。攻撃に成功すると、攻撃者が管理するサーバが任意のコードを実行し、不正なアプリケーションをインストールし、接続しているユーザのコンピュータに特権アカウントを作成することもできます。

要約とヒント
要約すると、これら 4 つの CVE は非常に大きな問題だということです。CryptoAPI スプーフィングは「重要」としかマークされていませんでしたが、標的に対する攻撃チェーンで使用される恐れもあります。攻撃者がすでにユーザのシステムの乗っ取っている場合、中間者攻撃の能力は、この脅威によって飛躍的に高まります。この脅威を特定する方法はなく、アップデートすることが脅威を緩和する唯一のオプションです。

他の 3 つの CVE に関しては、Windows Server の管理者は、特権のある不明なユーザアカウントがないこと、また最近サーバにアプリケーションがインストールされていないかどうかを確認する必要があります。さらにサーバ名が管理者によって変更された場合には、各ユーザに通知すること、または最低限、スプーフィングされた電子メールから誘導される恐れのある「新しいサーバ」には接続しないようにユーザに必ず周知してください。エンドユーザは、不明な RDP サーバには接続せず、既知のサーバに接続する場合には、正しいサーバであることを確認するよう十分に注意してください。技術者の方や、技術的な詳細にご興味がございましたら、システムおよびネットワーク環境をチェックする参考としてこちらのリンク先の記事をお読みください。