2020 年 3 月 13 日 Trevor Collins 著

先日 Microsoft が公開した定例外のパッチは、Windows 10 と Server 2019 のファイル共有プロトコル SMBv3 における、展開方法に関する脆弱性を解決するものです。Microsoft によれば、この脆弱性の悪用に成功すると SMB を利用してネットワークを介してリモートでコードを実行できます。具体的には、認証されていない攻撃者が特別に作成したメッセージをサーバに送り、そのサーバを乗っ取ることができます。また攻撃者がクライアントにメッセージを送ってユーザが接続を承認した場合には、クライアント側でリモートのコード実行を行うことができます。Microsoft は、脆弱性に関するさらなる詳細は公開していませんが、脆弱な OS の設定を一覧にしています。

この特定の修正のリリース日に関しては、 Microsoft 側で混乱があったものと思われます。通常であれば Microsoft は毎月第 2 火曜日に「Patch Tuesday」として知られる月例セキュリティパッチを公開しています。今回の脆弱性に関する修正は、もともと今月の月例パッチには含まれていませんでした。それにも関わらず Microsoft は脆弱性に関する詳細を誤って火曜日に公開してしまったため、2 日後に緊急で修正パッチを配信したようです。攻撃者が SMB 3.1.1 における変更点を調べ、脆弱性を特定して有効なエクスプロイトを作成するにはそれほど時間はかからないものとウォッチガードは考えています。この脆弱性の詳細が公開されたことによる被害を最小限に抑えるために、パッチが公開されたのでしょう。

脆弱性が影響を与えるのは、圧縮に SMB 3.1.1 を使用している Windows 1909 と 1903 のみです。Windows をアップデートし、脆弱性を修正したパッチのインストールが可能である一方で、レジストリを編集して SMB を使った圧縮を無効にすることも可能です。もっとも Microsoft はすでにアップデートを公開しているため、レジストリの編集をするべき理由があるとすればそれは現在再起動できない場合です。アップデートには再起動が必要ですが、レジストリの編集には再起動の必要がないためです。もし今現在再起動をできない状況である場合は PowerShell を使ってレジストリを編集し、可能な時に速やかにアップデートを適用しましょう。

システムにパッチを適用したら、再び SMB による圧縮を有効にできます。

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

セキュリティ研究者は、SMB プロトコルに存在する脆弱性を見つけるため調査を続けています。SMB アクセス（port445）の許可は信頼できるネットワーク接続でのみで行い、可能な場合は SMB アクセスを制限しましょう。外部インターネットからの SMB アクセスは絶対に許可しないようにしましょう。