Microsoft のリモート デスクトップ プロトコル (RDP) で最近発見された脆弱性は Windows Server 2012 R2 にまで遡り、RDP セッションに接続できるユーザーは誰でも他の RDP ユーザーをほぼ完全に制御して、中間者攻撃を開始できるようになります。
CyberArkのセキュリティ研究者によって発見されたこの脆弱性は、既にMicrosoftに開示されており、Microsoftはこれを受けてセキュリティアップデートをリリースしました。これをまず警告しておきます。組織でRDPを使用している場合は、影響を受けるシステムをできるだけ早くアップデートしてください。
この脆弱性はいくつかの要因によって発生し、「リモートデスクトップ経由でリモートマシンに接続している権限のない標準ユーザーが、他の接続ユーザーのクライアントマシンのファイルシステムにアクセスし、他の接続ユーザーのクリップボードデータを表示および変更し、スマートカードを使用してマシンにログオンしている他のユーザーのIDを偽装できるようになる」とレポートの著者であるガブリエル・ステインウォルセル氏は述べている。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
簡単に説明すると、RDPは「パイプ」と呼ばれる論理接続を使用して、単一の接続を複数の仮想チャネルに分割します。例えば、ユーザーがRDPに接続すると、画像出力、ドライブマッピング、クリップボード、ユーザー入力、その他の種類のデータを処理するために、それぞれ異なるパイプが作成されます。
RDPサーバーが作成する各パイプには名前が付けられ、パイプのセキュリティ設定によっては、複数の同時接続に対応するために同じ名前のパイプが重複して作成されることがあります。名前はすべてTSVCPIPEで始まり、作成時にランダムに生成される特定のサービスのGUIDが続きます。各セッションは同じ名前付きパイプを使用します。
問題はここにある。「TSVCPIPEセキュリティ記述子により、どのユーザーでも同名のパイプサーバーインスタンスを作成できることが判明した。さらに、データはパイプ経由で平文で送信され、整合性チェックは一切行われない」と報告書は述べている。
したがって、攻撃者がRDPに接続できれば、複製されたパイプを作成し、新しい接続を待つだけで済みます。RDPは最初に作成されたサービスに自動的に接続するため、新しいユーザーが接続すると、そのユーザーのマシンは既存の悪意のあるパイプに自動的に接続されます。この時点で、攻撃者はパイプの両端を制御し、クライアントとホスト間でデータの読み取り、受け渡し、変更を行うことができます。
ステインヴォルセル氏は、テストでは、同氏のチームがこの脆弱性を利用して被害者のドライブやファイルにアクセスできたほか、ログインに使われるスマートカードを乗っ取ってユーザーになりすまし、権限を昇格することもできたと述べた。
脆弱な RDP についてどの程度心配すべきでしょうか?
サイバーセキュリティ企業 Cerberus Sentinel のソリューションアーキテクチャ担当副社長、クリス・クレメンツ氏は、この脆弱性は深刻だが、攻撃者が攻撃を開始するには組織の RDP サービスへのアクセス権をすでに取得している必要があるという事実によってその深刻さは相殺されると述べた。
クレメンツ氏は、この注意点を踏まえてもなお、特に複数の同時接続を持つ共有端末として機能するインターネット対応のRDPシステムを導入している組織にとって、依然として懸念材料があると警告している。「低い権限のアカウントにアクセスできた攻撃者は、この脆弱性を悪用して被害者の組織全体に侵入し、甚大な被害をもたらす可能性があります」とクレメンツ氏は述べた。
KnowBe4のセキュリティ意識啓発活動家、エリック・クロン氏は、COVID-19危機とリモートワークへの移行により、犯罪者がこれまでは考えられなかった脆弱性を悪用する新たな機会が数多く生まれていると述べています。インターネットに接続されたデバイスを検索可能なデータベースにマッピングするShodan.ioのようなウェブサイトの存在は、悪用される可能性をさらに高めていると、同氏は指摘します。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント(TechRepublic Premium)
Shodanには正当な用途があり、無料サービスではないことは特筆に値します。とはいえ、本当に悪意を持って不正な目的で利用したい人にとって、1ヶ月のアクセスに必要な59ドルを支払うことはおそらく止められないでしょう。
「RDP を使ってネットワークにリモートアクセスする場合、特にこの脆弱性が有効な場合は、組織は現在の RDP サービスを VPN 経由でのみ利用できるようにし、インターネットへの直接アクセスを排除することを検討すべきだ」とクロン氏は述べた。
クロン氏は、セキュリティ専門家やビジネスリーダーが長年聞いてきたのと同じことを推奨しています。それは、多要素認証を有効にし、失敗した接続試行をすべて記録して定期的に確認し、従業員に適切なパスワードの使用法とセキュリティ習慣を教育することです。
