Cisco Japan Blog

注目の脆弱性:Windows 7 と Windows XP の RDP で確認された 2 件の脆弱性

1 min read



Cisco Talos は最近、Microsoft 社製品におけるリモート デスクトップ サービスの 2 件の実装で、2 種類の脆弱性を発見しました。それらは 1 件のサービス妨害の脆弱性と、複数の情報漏えいの脆弱性で、Windows 7 / Windows Server 2008(RDP 8.0 が有効になっている場合)、Windows 8 / Server 2012、および Windows 10 / Server 2016 に影響します。リモート デスクトップ プロトコルは、ユーザや管理者によるネットワーク接続を介したマシンの遠隔操作を可能にするもので、リモート デスクトップ サービスで使われています。サービス拒否の脆弱性は、接続のセットアップ後(ライセンス交換を実行できるタイミング)で発現します。情報漏えいの脆弱性はセッションの確立(クライアントとサーバによるネゴシエーション)プロセス内で発現します。これらの脆弱性がエクスプロイトされると、サービス拒否攻撃や情報漏えいにつながる危険性があります。Microsoft 社は、12 月のセキュリティ更新プログラムの中でこれらの脆弱性を公開、修正しました。最新のセキュリティ更新プログラムについて、詳しくはこちらの Talos ブログの全文をご覧ください。Snort カバレッジはこちらに記載されています。

Cisco Talos は情報開示方針に従って Microsoft 社と協力し、今回の脆弱性が解決されたこと、および影響を受けた利用者向けにアップデートが提供されていることを確認しています。サービス妨害の脆弱性については、影響を受けるバージョンの Windows すべてに対して、同社から修正プログラムが提供されています。ただし Windows XP が影響を受ける情報漏えいの脆弱性については、サポート終了を理由に修正プログラムを提供していません。Windows XP をお使いであれば、最新の OS にアップグレードすることをお勧めします。

脆弱性の詳細


Microsoft
リモート デスクトップ サービス(RDP8)のライセンスネゴシエーション方法に起因する、サービス妨害の脆弱性(TALOS-2019-0901 / CVE-2019-1453

Microsoft 社によるリモート デスクトップ サービスの RDP8 実装で、エクスプロイト可能なサービス妨害の脆弱性が発見されました。ライセンスネゴシエーションで使用される特定のコンポーネントにより、リモートクライアントによって制御されるメモリを、範囲に制限なくリモートクライアント側から読み取れます。このため、反復可能な割り当てを行うか、またはマッピングされていないメモリからの読み取りを行うように、クライアント側からコンポーネントを強制することができます。いずれの操作もサービス妨害状態につながります。攻撃者は機能ネゴシエーションのタイミングで特定のパケットタイプを送信することにより、脆弱性をエクスプロイトできる可能性があります。

詳細は、こちらpopup_iconからアドバイザリ全文をお読みください。

Microsoft Windows XP
のリモート デスクトップ サービス(RDP7)実装に起因する、複数の情報漏えいの脆弱性(TALOS-2019-0895 / CVE-2019-1489

Microsoft Windows XP におけるリモート デスクトップ サービスの RDP7 実装に、エクスプロイト可能な情報漏えいの脆弱性が存在します。これらは T.128 プロトコルの各要素(機能ネゴシエーションなど)に起因する問題です。標的のアドレス空間に関する情報が攻撃者に漏えいする危険性があります。攻撃者は、T.128 を介した標的との機能ネゴシエーションを確立し、返されたデータを調べるだけで、脆弱性をエクスプロイトできる可能性があります。

詳細は、こちらpopup_iconからアドバイザリ全文をお読みください。

脆弱性が確認されたバージョン

TALOS-2019-0901 の脆弱性については、Windows 7 の RdpCoreTS.dll(バージョン 6.2.9200.22828)で実行されるリモート デスクトップ サービスが影響を受けることを Talos で確認済みです。TALOS-2019-0895 の脆弱性は、RDPWD.sys 5.1.2600.5512 と termdd.sys 5.1.2600.5512 を使う Windows XP の RDP にのみ影響があります。

カバレッジ

脆弱性のエクスプロイトは、以下の SNORTⓇ ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。

Snort ルール:51649test

本稿は 2019年12月10日に Talos Grouppopup_icon のブログに投稿された「Vulnerability Spotlight: Two vulnerabilities in RDP for Windows 7, XPpopup_icon」の抄訳です。

コメントを書く