本文へ移動します

『ソリューション&サービス』トップを見る

閉じる

『目的/課題から探す』一覧を見る

『ITキーワードから探す』一覧を見る

『導入事例』トップを見る

閉じる

『特集・ブログ』トップを見る

閉じる

『ニュース』トップを見る

閉じる

『企業・IR情報』トップを見る

閉じる

『会社情報』トップを見る

『株式・投資家情報』トップを見る

『人事戦略・採用』トップを見る

『サステナビリティ』トップを見る

閉じる

サイト内検索

閉じる

未来に繋ぐセキュリティ情報発信

CVE-2017-9073 - 脆弱性調査レポート

Windows XPおよびWindows Server 2003におけるリモートデスクトップサービスの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9073)に関する調査レポート

ソフトバンク・テクノロジー株式会社

SBテクノロジー株式会社

概要

Windows XP および Windows Server 2003のリモートデスクトップサービス(旧ターミナルサービス)に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-9073)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、スマートカード認証で使用するコンポーネント「gpkcsp.dll」内の、スマートカード情報を格納する構造体の不具合に起因するバッファオーバーフローの脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートから Windows の SYSTEM 権限で任意のコードを実行される危険性があります。本脆弱性の影響を受けるシステムの条件は、対象システムがドメインに参加していること、リモートデスクトップサービスが動作しており、かつ同サービスにてスマートカードデバイスのリダイレクトを許可する設定になっていることです。なお、スマートカードデバイスのリダイレクトについてはデフォルトで許可する設定になっております。

また、本脆弱性は、「The Shadow Brokers」と名乗るグループによって公開された、同グループが NSA (米国家安全保障局)と関連が深いとされている、「The Equation Group」から盗んだと主張する攻撃コードの中の一つである「EsteemAudit」が悪用する脆弱性です。なお、同グループが公開した攻撃コードの中には、5月初旬から世界中で話題となった WannaCry を拡散させるために使用されたとされる攻撃コード「EternalBlue」も含まれていました。

本レポート作成(2017年6月5日)時点において、本脆弱性の影響を受ける可能性がある Windows XP および Windows Sever 2003は、開発元のサポートがすでに終了 (Windows XP は2014年4月9日(日本時間)に、Windows Server 2003は2015年7月15日(日本時間)に終了)しているため、本脆弱性を修正するプログラムがリリースされない可能性が高いこと、また攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、加えて攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-9073)の再現性について検証を行いました。

影響を受ける可能性があるシステム

  • Windows XP
  • Windows XP SP1
  • Windows XP SP2
  • Windows XP SP3
  • Windows Server 2003
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2

対策案

本脆弱性の影響を受ける可能性がある Windows XP および Windows Sever 2003 は、開発元のサポートがすでに終了しているため、本脆弱性を修正するプログラムはリリースされない可能性が高いと判断できます。可能な限り迅速に現在サポート中の OS へとアップデートしてください。それまでの暫定回避策としては、以下回避策のいずれかを実施することを推奨いたします。

  • リモートデスクトップサービスにて「スマートカードデバイスのリダイレクトを許可しない」設定を有効にします。スマートカードを使用して認証を行っているシステムについては、代替の認証方式を検討してください。
  • リモートデスクトップサービスを無効にし、代替の接続方法を検討する、もしくは対象のリモートデスクトップサービスにアクセスが可能となっている範囲を確認し、適切なアクセス元からのみアクセスが可能となるよう、アクセス元の制限を行ってください。

「スマートカードデバイスのリダイレクトを許可しない」設定を有効にする手順

「スマートカードデバイスのリダイレクトを許可しない」設定を有効にする手順は以下の通りです。

※ Windows 2003での設定例です。
詳細は以下 Microsoft 社の Web サイトをご確認ください。
Device and Resource Redirection

  1. Active Directory にてグループポリシーオブジェクトエディタを開き、[コンピュータの構成]-[管理用テンプレート]-[ターミナルサービス]-[クライアント/サーバー データリダイレクト]を選択。右ペインより[スマートカードデバイスのリダイレクトを許可しない]をクリックします。
  2. [スマートカードデバイスのリダイレクトを許可しないのプロパティ]ウィンドウにて[有効]を選択し、[OK]ボタンをクリックします。
    スマートカードデバイスのリダイレクトを許可しないのプロパティ

リモートデスクトップサービスを無効にする手順

リモートデスクトップサービスを無効にする手順は以下の通りです。

システム毎に無効にする手順

※ Windows 2003での設定例です。

  1. コントロールパネルより[システム]のアイコンを選択します。
  2. [システムのプロパティ]ウィンドウにて[リモート]タブを選択。[このコンピュータにユーザーがリモートで接続することを許可する]のチェックを外し、[OK]ボタンをクリックします。
    システムのプロパティ


グループポリシーを使用して無効にする手順

※ Windows 2003での設定例です。

  1. Active Directory にてグループポリシーオブジェクトエディタを開き、[コンピュータの構成]-[管理用テンプレート]-[ターミナルサービス]を選択し、右ペインより[ユーザーがターミナルサービスを使ってリモート接続することを許可する]をクリックします。
  2. [ユーザーがターミナルサービスを使ってリモート接続することを許可するのプロパティ]ウィンドウにて[無効]を選択し、[OK]ボタンをクリックします。
    ユーザーがターミナルサービスを使ってリモート接続することを許可するのプロパティ

参考サイト

CVE - CVE-2017-9073
Protecting customers and evaluating risk
A Dissection of the “EsteemAudit” Windows Remote Desktop Exploit

検証概要

攻撃者は、リモートデスクトップサービスが動作するターゲットシステムへ細工したリクエストを送信することにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。

今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートから Windows の SYSTEM 権限でターゲットシステムが操作可能となります。

*誘導先のシステムは Linux です。

検証ターゲットシステム

Windows Server 2003

検証イメージ

検証イメージ

検証結果

下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。
一方で、赤線で囲まれている部分は、ターゲットシステム(Windows Server 2003)において、ユーザーの情報、IP アドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。

検証結果

 

更新履歴

2017年6月5日 : 初版公開

ソフトバンク・テクノロジー セキュリティソリューション一覧

脆弱性調査レポートのメール配信を開始しました!

ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。
「脆弱性調査レポート メール」の配信登録はこちら

本件に関するお問い合わせ先

 

『報道関係者様からのお問い合わせ』

ソフトバンク・テクノロジー株式会社
管理本部 経営企画部 齊藤、吉田、菅
メールアドレス:sbt-pr@tech.softbank.co.jp 		『お客様からのお問い合わせ』

下記問い合わせフォームよりお問い合わせください。

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録