2017年3月7日
SecureWorks Japan株式会社

 

 

 

SecureWorks Japan Windows SMBのゼロデイ脆弱性とRedirect to SMB併用により
DoS
攻撃が可能になることを実証

 

 

 

SecureWorks Japan株式会社(本社:神奈川県川崎市、代表取締役:ジェフ・モルツ、以下SecureWorks)は、CERT/CCやSANS Internet Storm Centerなどが2017年2月2日に公開した、MicrosoftのWindows8.1、Windows10、Windows Server 2012 R2、そしてWindows Server2016のSMBにゼロデイの脆弱性が発見されたという情報をもとに独自に検証を進めた結果、2015年に発表された「Redirect to SMB(SMBへのリダイレクト)」の手法と併用することにより、ウェブサイトにアクセスするだけでファイル共有の通信が発生し、クライアント端末をクラッシュさせてブルースクリーンにすることができると確認しました。

CERT/CCもそのリスクと手法について言及しているとおり*1、本脆弱性は攻撃者が用意したSMBサーバに接続する必要があるため、攻撃手法としては成功難易度が高いと考えられていました。

*1  出典:「Vulnerability Note VU#867968:Microsoft Windows SMB Tree Connect Response denial of service vulnerability」www.kb.cert.org/vuls/id/867968

今回、SecureWorks Japanの研究員らがいくつかのパターンの検証を行い、Windowsのシステムにおいて、XSSやHTTPヘッダインジェクション、オープンリダイレクタといったハッキング手法と組み合わせることにより攻撃者は、一般ユーザに対しDoS攻撃が可能となるという結果を導き出しました。

 

検証結果は、以下のとおりです。

①【攻撃者側】検証環境において攻撃者が攻撃コード(PoC)*2を起動

*2 出典:https://github.com/lgandx/PoC/tree/master/SMBv3%20Tree%20Connect


②【攻撃者側】SMBサーバにリダイレクトさせるためのURL(攻撃プログラム)

 

③【一般ユーザ側】URL(攻撃プログラム)にアクセス

④【一般ユーザ側】ブルースクリーンになりDoS攻撃成功
  

本脆弱性はゼロデイであるため、セキュリティパッチはリリースされていません。そのため、ファイアウォールにて該当ポート(139および445)宛のアウトバウンド通信を「Deny」に設定するといった対策を行う必要があります。

■本検証プロセスの詳細につきましては、www.secureworks.com/blog/attacking-windows-smb-zero-day-vulnerabilityをご覧ください。

SecureWorksについて
SecureWorks は、日々深刻化するサイバー上の脅威を初期の段階から把握し警戒を行うことで、企業組織へのサイバー攻撃を素早く予測、防御、検出、そして対応を行うセキュリティ・サービス専業ベンダーです。
当社は、独自のカウンター・スレット・プラットフォーム (CTP) において高度なデータ分析および洞察エンジン、そしてカウンター・スレット・ユニット (CTU) のリサーチ結果を統合し導き出した実用的なインテリジェンスを用い、サイバー上の脅威をリアルタイムに可視化し、その対抗策をすべてのサービスに反映させます。
日本を含む世界5カ所のセキュリティ・オペレーション・センター(SOC)を通じてSecureWorksは、お客様のリスクを最小限に抑えるセキュリティ・ソリューションを提供します。
2016年4月29日現在、SecureWorksは59ヶ国の4,300社のお客様企業にサービスを提供しています。詳細につきましては、www.secureworks.jpをご覧ください。

■ SecureWorksロゴは、米国 SecureWorks Corp の商標または登録商標です。
■ その他の社名および製品名は、各社の商標または登録商標です。
■ 記載内容は、2017年3月7日時点のものです。