BlueKeep(CVE-2019-0708)は2019年5月に公開された脆弱性であり、クライアントとサーバー間の RDP(Remote Desktop Protocol)接続プロセスにおいて発生する。クライアントが特定のチャンネル(MS_T120)へ悪意を持ったパケットを送信すると、Use-After-Free 脆弱性が発生し、リモートコードの実行が可能になる。[1] この脆弱性は最近でも ASEC ブログで取り上げられており[2]、APT グループがこれを活用している。
ここでは、最近 AhnLab EDR(Endpoint Detection and Response)で検知された BlueKeep 脆弱性について説明する。
検知された攻撃は、ASEC ブログ[2]で取り上げたものと類似したタイプの攻撃ツールを使用したものと思われ、BlueKeep 脆弱性を利用した攻撃は Windows の基本プログラムである spoolsv.exe で悪意を持ったコマンドを実行させる。[図1]で確認できるように、spoolsv.exe で実行された cmd.exe がこれを示している。
[図1] spoolsv.exe で実行された cmd.exe
EDR ダイアグラムを通じて検知された悪意を持ったコマンドを確認したところ、攻撃者は Windows の基本プログラムである cmd.exe のファイル名を Narrator.exe に変更する。ユーザーがログオフ状態のとき、アクセシビリティ機能によって cmd.exe に変更されたナレーター機能を利用すると、実際には Narrator.exe ではなく cmd.exe が実行される。このようにして実行された cmd.exe は、システム権限で実行されるため、攻撃者は権限昇格を目的として悪意を持ったコマンドを使用したものと推定される。
[図3]上のナレーターだけでなく、アクセシビリティ機能があるすべてのプログラムが cmd.exe に変更されるおそれがあり、これによって悪意を持ったコマンドが実行される可能性がある。
[図2] BlueKeep 脆弱性により悪意を持ったコマンドが実行される振る舞いの検知
[図3] Windows 7 でのアクセシビリティ機能
AhnLab EDR は、韓国国内で唯一の振る舞いベース解析エンジンを通じてエンドポイント領域において強力な脅威モニタリング、解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。本記事で取り上げた脆弱性のような、疑わしい振る舞いに対する情報を持続的に収集して、検知、解析、対応の観点からユーザーが脅威を正確に認識できるようにし、管理者はこれによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: EndPoint