2019年5月14日、MicrosoftはBlueKeep(CVE-2019-0708) の脆弱性に対するパッチのために緊急のセキュリティ更新プログラムを通知した。また、すでにサービスのサポートを終了した OS(Windows XP、Windows Vista、Windows Server2003) までの更新を例外的に提供し、BlueKeep の脆弱性を2017年の EternalBlue の脆弱性と同じく、「Wormable(ワームの侵入を許す)」脆弱性として悪用される可能性があると警告した。
BlueKeep は、クライアントとサーバー間の RDP(Remote Desktop Protocol) 接続プロセスにおいて、クライアントが特定のチャネル(MS_T120)に悪意のあるパケットを送信したときに Use-After-Free が発生し、リモートでコードが実行可能な脆弱性である。パッチのアップデートが最初に公開された5月14日以降、4か月が経過した9月6日には、Metasploit にリモートでのコード実行まで可能な POC が公開され、11月初め、初めてBlueKeepを利用したマルウェア拡散事例が確認された。
BlueKeep 脆弱性を利用した攻撃に対応するには、セキュリティパッチが必須である。ただし、リモートシステムでリモートプロトコルを使用していない場合、TCP3389 番のポートを無効化するか、RDP にネットワークレベル認証(NLA)を有効化する方法でも脆弱性の予防が可能である。
現在 AhnLab 製品では、BlueKeep や EternalBlue のようなファイルレス形式の脆弱性攻撃に対して、今回新たに適用された「TrueEyes」技術(行為ベースエンジンのファイルレス攻撃検出技術)でブロックしているため、行動ベースのエンジンを使用しているユーザーはこれらの脆弱性攻撃からリモートコードの実行を防ぐことができる。

[行為診断]
- Malware/MDP.Behavior.M2523
以下の動画は、脆弱なリモートシステムに対し BlueKeep 脆弱性攻撃を試みた場合、そのシステムにインストールされている V3 の「TrueEyes」技術でリモートコードの実行をブロックするシナリオとして製作された映像である。
[1] Windows BlueKeep 脆弱性攻撃によるリモート先での calc.exe (計算機)の実行
[2] Windows BlueKeep 脆弱性攻撃に対するV3の行為検出
Categories:マルウェアの情報