BadTunnel: すべての Windows ユーザーが影響を受ける脆弱性

Badtunnel

Windows 95 から Windows 10 までの全バージョンの Microsoft Windows オペレーティングシステムが影響を受ける深刻な脆弱性が、セキュリティ研究者によって発見されました。

この脆弱性を悪用する攻撃者は、ユーザーにリンクをクリックさせるか、Microsoft Office ドキュメントを開かせるか、USB メモリを接続させることで、中間者攻撃が可能になります。

この脆弱性を発見して BadTunnel と名付け、5 万ドルもの報奨金を手にした Yang Yu 氏は Dark Reading とのインタビューで、その影響を次のように大げさな表現で説明しています。

(引用文日本語訳) この脆弱性はセキュリティに大きな影響を及ぼします。おそらく Windows 史上最大の影響力です。

Microsoft は火曜日にセキュリティ情報 MS16-077 でこの脆弱性の修正を公開しました。サポート対象外の Windows バージョン (Windows XP など) のユーザーは、NetBIOS over TCP/IP を無効にする必要があります。

現時点では脆弱性の詳細は明らかになっていませんが、ネットワーク全域で NetBIOS を偽装 (スプーフィング) して、ファイアウォールと NAT (Network Address Translation) デバイスを迂回する手法だとされています。

つまり、ファイアウォールによって保護されなくなるため、ユーザーはネットワークとインターネットの間にあるポート 137 の UDP をブロックしない限り、ネットワークの外部にいる攻撃者に狙われる可能性があります。

Yu 氏によれば、この脆弱性は「トランスポート層プロトコル、アプリケーション層プロトコル、オペレーティングシステムによるアプリケーションプロトコルの特定の使用方法、ファイアウォールと NAT デバイスで使用されるいくつかのプロトコル実装」などの一連の要素を利用しています。

Microsoft のセキュリティ情報は、2007 年に始めて報告された WPAD (Web Proxy Autodiscovery Protocol) の脆弱性を修正するもので、悪用される要素の最後の部分が修正されているようです。

WPAD は、コンピュータがローカルネットワーク上の特定のアドレスを検索して、Web ブラウザの構成ファイルを見つけるためのものです。攻撃者はアドレスを 1 つでも入手できれば、あるいは検索対象のアドレスを変更できれば、中間者攻撃によって独自の構成ファイルを使用させ、ブラウザトラフィックのルートを変更させることができます。

BadTunnel が登場する以前は、ユーザーのネットワークに侵入する (あるいはドメイン名衝突が発生するのを待つ) 必要があったため、容易な攻撃方法ではありませんでした。

Yu 氏は、近々開催される BlackHat カンファレンスにて BadTunnel の詳細を発表する予定です。

(引用文日本語訳) プレゼンテーションでは、新たな脅威モデルを紹介する予定です。この脅威モデルに基づいて、私達は Windows システムにある脆弱性を発見しました。Windows 10 を含め、過去 20 年間にリリースされたすべての Windows がこの脆弱性の影響を受けます。すべてのバージョンの Internet Explorer、Edge、Microsoft Office、多くのサードパーティ製ソフトウェア、USB メモリ、さらには Web サーバーに対して攻撃が実行される可能性があります。この脆弱性が悪用されると、ユーザーは攻撃者の監視下に置かれることになります。