SMBv3の脆弱性 (CVE-2020-0796)

影響を受けるWindowsのバージョン

  • Windows 10 Version 1903
  • Windows 10 Version 1909
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

攻撃経路

  • 脆弱なSMBv3サーバに攻撃パケットを送信
  • 脆弱なSMBクライアントを悪意のあるSMBv3サーバにアクセスさせる

対策

  • 修正パッチを当てる
  • SMBサーバをインターネット上に公開しない
  • SMBv3のデータ圧縮機能を無効化する

    • Microsoftが機能を無効化するPowershellコードを公開している

      Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

  • 外部宛てのSMB通信を許可しない

    • "smb://"のようなスキームを利用して攻撃が行われる可能性

メモ

参考リンク

9/16(月)週 読んだ記事まとめ

adguard.com

  • AdBlockとuBlockの偽物がChromeウェブストアに公開されていた
    → 現時点では既に削除されている
  • 偽物のアドオンにはそれぞれユーザ数が80万以上もいた
  • 偽物のAdBlockは本物のAdBlockのコードを流用しているので実際に広告をブロックするが、インストールして約55時間後に挙動が変わり、Cookie stuffing*1を行うようになる
  • 隠ぺい機能があり、例えばDeveloperコンソールが開いていると一時的に悪意ある挙動を停止する
  • Googleの規約上、正規ツールと混同させるような名前を使用することに問題はない
  • 今回のケースではユーザ数も多く、ユーザレビューの評価も高かったため、悪意のあるツールと気づくのが難しい

 

www.atmarkit.co.jp

  • 脆弱性を見つけたときの報告談
  • 実際にIPAに通報した際の流れや、公表の仕方に関する考察・注意点など興味深い

 

www.openbugbounty.org

  • SSRFの脆弱性を利用してサーバ上のローカルファイルにアクセスする方法を解説
  • URLを入力すると、サービスが稼働しているかを監視してくれる機能
  • http以外のスキーム(file, ldap, gopher, ftp, ssh)だと上手く動かない
  • 制限をBypassする方法として、Locationヘッダーを使ったリダイレクトを使用することでローカルファイルにアクセスすることができた

8月12日(月) 興味のあった記事

Saefko: A new Multi-layered RAT | Zscaler Blog
www.zscaler.com

“Writing my Medium blog to complete account takeover” by Rotem Reiss
medium.com

Privilege Escalation using Api endpoint - Ronak Patel - Medium
medium.com

Say Cheese: Ransomware-ing a DSLR Camera - Check Point Research
research.checkpoint.com

(DEF CON 27 - PDF slides) .NET Malware Threat: Internals and Reversing
www.reddit.com

Malware Naming Hell: Taming the mess of AV detection names
www.gdatasoftware.com

Finding Evil in Windows 10 Compressed Memory, Part Three: Automating Undocumented Structure Extraction
https://www.fireeye.com/blog/threat-research/2019/08/finding-evil-in-windows-ten-compressed-memory-part-three.html

8月7日(水) 興味のあった記事

 

MoqHao Related Android Spyware Targeting Japan and Korea Found on Google Play

securingtomorrow.mcafee.com

 

Forensics Tools by Windows Artefact

medium.com

 

Report: Thin Red Line - Penetration Testing Practices Examined

threatvector.cylance.com

 

Commando VM 2.0: Customization, Containers, and Kali, Oh My!

https://www.fireeye.com/blog/threat-research/2019/08/commando-vm-customization-containers-kali.html

 

APT41: A Dual Espionage and Cyber Crime Operation

https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html