BlueKeep

AhnLab EDR を活用した BlueKeep による攻撃の検知

BlueKeep(CVE-2019-0708)は2019年5月に公開された脆弱性であり、クライアントとサーバー間の RDP(Remote Desktop Protocol)接続プロセスにおいて発生する。クライアントが特定のチャンネル(MS_T120)へ悪意を持ったパケットを送信すると、Use-After-Free 脆弱性が発生し、リモートコードの実行が可能になる。[1] この脆弱性は最近でも ASEC ブログで取り上げられており[2]、APT グループがこれを活用している。 ここでは、最近 AhnLab EDR(Endpoint Detection…