Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
アクセス可能なプリンターを80万台以上インターネット上で発見
Windows XPとWindows Server 2003のソースコードがオンラインで流出
流行中の「ZeroLogon」エクスプロイト が、ドメインコントローラーのパスワードを数秒でリセットする可能性
アクセス可能なプリンターを80万台以上インターネット上で発見
・CyberNewsの調査員は、ネットワーク印刷機能が有効になった状態で、オンラインで不正アクセス可能なプリンター80万台を発見しました。これらのうち約50万台が、攻撃に対して脆弱な状態であると推定されています。攻撃のデモンストレーションでは、調査員らは実験サンプル50,000台のデバイスのうち27,944台でPDF文書を印刷することに成功しました。
・脅威アクターがこれらの保護されていないデバイスに対して攻撃を実行し、プリンタに保存されているデータを盗み出したり、分散型サービス拒否(DDoS)攻撃やスパム・キャンペーンなどのボットネットとして使用したりすれば、組織に深刻な損害が発生する可能性があると調査員は警告しています。
出典:https://cybernews.com/security/we-hacked-28000-unsecured-printers-to-raise-awareness-of-printer-security-issues/?_hsmi=94145608&_hsenc=p2ANqtz-8EKGmlVd0wWFhJ-6M-5t6-95s_3ZaEZtOKL7u64a8bpgpW5fY8JVfoQAyo07ly1o3bngYqoLH5SRv5QGBrYTsRx3pfAg
Analyst’s Comments
影響範囲:
直接的な影響:プリンターの所有者
間接的な影響:コロナ・リモートワークにより、機密データを社外の十分に保護されていない家庭用プリンターに送信している企業。
見解:
直接的に言えば、この問題は企業にとっては些細な脅威に過ぎず、ほとんどの企業ではネットワークセキュリティがある程度確立されており、ここでの脆弱性はコードの脆弱性・エクスプロイト・ハックではなく、設定の誤りに起因しています。
今回この記事を選んだ理由は、COVID-19によりリモートワークする社員が著しく増えているからです。悪質ユーザーが保護されていないプリンターの印刷メモリからデータを盗み出すことができると、この記事に記載されています。だから、大切な家族であるペットの写真や食料品リストにアクセスされても気にしないかもしれませんが、仕事の目的で自宅のプリンタを使用した場合、仕事の機密情報が悪意のある手に渡ってしまう可能性があります。
対策:
雇用主は、従業員が自宅で利用する予定のデバイスを提供または検証し、それらが会社のセキュリティ基準に準拠していることを確認する必要があります。
原文:
Who’s Affected:
Directly: Printer owners
Indirectly: Companies whose employees may have printed classified information on home printers that are less likely to be secured during COVID-19 remote work.
Observations:
Directly speaking, this issue is only a minor threat to companies as most have some semblance of network security and the vulnerability here stems from mismanaged settings rather than a code vulnerability/exploit/hack.
The reason I’ve selected this article is due to the increase in COVID-19 remotely working employees. The article mentions that malicious users can scrape the data from the print memory of unsecured printers. So while you might not mind them getting access to pictures of your cherished family pet or grocery list, if you used your home printer for work purposes, sensitive work information could now be in malicious hands.
Mitigation Strategies:
Employers should provide or vet the devices an employee will be using at home to make sure they are compliant with the company security standards.
Windows XPとWindows Server 2003のソースコードがオンラインで流出
・何者かが、Windows XP、Windows Server 2003、およびそれ以前のバージョンのOSのソースコードを含む43GBのトレントファイルを4chanに投稿しました。
・同アクターは、トレントファイルにビル・ゲイツに対する陰謀ビデオを入れたと主張しており、Windows XPのソースコードがハッカーの間で何年も前から非公開で流通していたと言及しています。Windows XPとWindows Server 2003のコードだけを含む2.3GBの7zipファイルも別々に流通しています。
・BleepingComputerは、ソースコードを見ましたが、本物かどうかを判断する手段はないと述べています。マイクロソフトは、今回のリークについてコメントしていません。
出典:https://www.bleepingcomputer.com/news/microsoft/the-windows-xp-source-code-was-allegedly-leaked-online/?_hsmi=96041240&_hsenc=p2ANqtz-9uvGrammhs5tOf8THIaaWWcdlEohDu_y_flofF1aHHC5HcKQks5u-ZABnJeJCCzxgKNCmk6ECFwiSAhmg0nDAVPnsfRg
Analyst’s Comments
影響範囲:
Windows XPなどのサポート終了済み/廃盤ソフトを未だに使っている方
見解:
多くの企業では、コンピュータのハードウェアやソフトウェアのアップデートを定期的に行っていません。更新には費用がかかる場合があり、財務管理者にとっては、投資というよりはむしろお金の無駄遣いに見えてしまう場合があります。ハッカーが老朽化したネットワークの弱点を突いて、その多くはすでに解決策があるにもかかわらず、買い替えるコスト以上の損害が発生してしまうケースが日々増えています。
Windows XP はすでに、マイクロソフトによるサポートが打ち切られています。 つまり、サポート終了後に発見されたすべてのバグは永久的な欠陥となり、ユーザーはサードパーティ製の対処法を見つけなければならないということです。
ソースコードがオンラインで流出したことは、悪意のあるコーダーが Windows XP OS の弱点をより簡単に調査できるようになったことを意味します。 さらに、もしマイクロソフトがWindowsの次世代OSでレガシーコードを使用していた場合、「最新」とされているはずのOSは、マイクロソフトがパッチをリリースする前に侵害される危険性が高くなります。
対策:
ハードウェアとソフトウェアは常に可能な限り最新の状態に保つようにしてください。少なくとも、開発者によって正式に使用を中止されたハードウェア/ソフトウェアの使用を極力控えてください。
原文:
Who’s Affected:
Anyone still using end of life / discontinued software such as Windows XP.
Observations:
Many companies don’t update their computer hardware and software as frequently as they should. It can be an expensive process and to those managing finances, it often shows up as a money sink rather than the investment that it is. Every day more and more of those companies are learning an expensive lesson as hackers exploit weaknesses, many that have already have solutions, in their aging networks to cause damage beyond what it might have cost them to upgrade.
Windows XP has already had its support discontinued by Microsoft for some time now. Which means every bug found after that discontinuation is now a permanent feature that users have to find third party, if any, methods to deal with.
The source code being leaked online means that now malicious coders can more easily investigate for weaknesses in the Windows XP OS. In addition, if Microsoft used any of that legacy code in later editions of Windows, those still supported OSs now face a greater risk of compromise before Microsoft releases a patch.
Mitigation Strategies:
Always keep your hardware and software as up to date as possible. At the very least, make efforts to stop using hardware/software that has officially been discontinued by its developer.
流行中の「ZeroLogon」エクスプロイト が、ドメインコントローラーのパスワードを数秒でリセットする可能性
・セキュリティ研究者のKevin Beaumont氏は、現在流行中の「Windows ZeroLogon」の脆弱性(CVE-2020-1472)を悪用した攻撃が、エスカレートしていることを確認しました。Beaumont氏がハニーポットのActive Directoryサーバを設定したところ、2020年9月26日に「ZeroLogon」を悪用した攻撃者に狙われました。
・攻撃者はエクスプロイトチェーンに一致する数百回ものログインを試み、ドメインコンピュータのパスワードをリセットして、認証用のドメインコントローラを数秒で破壊しました。この攻撃は認証情報を使わずにインターネット上で実行され、SMB経由で取得された可能性のあるNetBIOS名を使用していました。
・ハッカーはリモートコード実行が可能になりました。また、SMB経由でコマンドを実行した可能性があります。
出典:https://doublepulsar.com/in-the-wild-exploitation-of-zerologon-detected-over-the-internet-on-honeypot-f61e2700215b
Analyst’s Comments
影響範囲:
あらゆる種類のWindows Serverを使用している企業と個人。
見解:
「ZeroLogon」は、暗号認証スキームAES-CFB8と、それを使用する「Microsoft Windows Server」の「Netlogonリモートプロトコル」における、設計上の欠陥を利用しています。このエクスプロイトにより、数秒のうちに認証スキームを回避することができます。
このエクスプロイトを実行することは非常に簡単で、インターネット上には実行方法をステップバイステップで説明したガイドが多数存在します。このため、悪用の危険性は飛躍的に高まっています。
対策:
マイクロソフトは、今後「ZeroLogon」エクスプロイトが悪用されることを直ちに防ぐため、以下のような声明を出しました。
「マイクロソフトはこの脆弱性に対し、段階的に対処しています。第一段階は、2020年8月11日にリリースされたWindowsアップデートに始まります。このアップデートにより、ドメインコントローラ(DC)は、Windowsデバイスをデフォルトで保護すること、非準拠デバイスを検出した際にイベントをログに記録すること、および、明示的な例外を設定してドメインに接続された全デバイスの保護を有効にするオプションを持つことが可能になります。
2021年第1四半期のリリースを予定している第二段階では、エンフォースメント(強制的)フェーズに移行します。DCはエンフォースメントモードに移行し、すべてのWindowsおよび非Windowsデバイスは、Netlogonセキュアチャネルによる保護されたリモートプロシージャコール(RPC)を使用するか、非準拠デバイスを例外に追加することでアカウントを明示的に許可するか、どちらかが必要になります。」
各OSのKB番号の一覧はこちら:
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472)
検出、対応にあたって推奨される戦略は、以下のリンクでご確認いただけます。また、このエクスプロイトについて、攻撃・防御の両方の観点からさらに詳しく分析したものもご覧いただけます。
(https://blog.zsec.uk/zerologon-attacking-defending/#what-is-zerologon)
原文:
Who’s Affected:
Businesses and individuals using any variant of Windows Server.
Observations:
ZeroLogon takes advantage of a design flaw in the AES-CFB8 crypto authentication scheme and Microsoft Windows Server’s Netlogon Remote Protocol which uses it. The exploit is able to bypass the authentication scheme in a matter of seconds.
This exploit is extremely easy to perform and many guides exist on the internet with step by step instructions on how to perform the exploit exponentially increasing the risk of abuse.
Mitigation Strategies:
Microsoft has announced the following to immediately defend against future abuse of the ZeroLogon exploit:
“Microsoft is addressing this vulnerability in a phased rollout. The initial deployment phase starts with the Windows updates released on August 11, 2020. The updates will enable the Domain Controllers (DCs) to protect Windows devices by default, log events for non-compliant device discovery, and have the option to enable protection for all domain-joined devices with explicit exceptions.
The second phase, planned for a Q1 2021 release, marks the transition into the enforcement phase. The DCs will be placed in enforcement mode, which requires all Windows and non-Windows devices to use secure Remote Procedure Call (RPC) with Netlogon secure channel or to explicitly allow the account by adding an exception for any non-compliant device.”
A full list of KB numbers for each OS can be found here:
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472).
Recommended detection and response strategies can be found here alongside a more in depth analysis of the exploit from both an offensive and defensive standpoint:
(https://blog.zsec.uk/zerologon-attacking-defending/#what-is-zerologon)
Writer