CVE-2018-0886は、クレデンシャルセキュリティサポートプロバイダーで見つかった重大な欠陥の識別子です (CredSSP). この脆弱性はWindowsのすべてのバージョンに影響を及ぼし、悪意のあるハッカーがRDPを悪用するためのリモートアクセスを可能にします (リモートデスクトッププロトコル) およびWinRM (Windowsリモート管理).
CVE-2018-0886 – 技術的な詳細
エクスプロイトが成功すると, ハッカーは悪意のあるコードを実行し、侵害されたシステムから機密データを盗む可能性があります. 欠陥はプリエンプトセキュリティの研究者によって明らかにされました.
「「クレデンシャルセキュリティサポートプロバイダープロトコルにリモートコード実行の脆弱性が存在する (CredSSP). この脆弱性を悪用した攻撃者は、ユーザーの資格情報を中継し、それらを使用してターゲットシステムでコードを実行する可能性があります。」, マイクロソフトは説明しました.
CredSSPは、他のアプリケーションの認証要求を処理する認証プロバイダーであることに注意してください。. これにより、認証用のCredSSPに依存するアプリケーションは、このような攻撃に対して脆弱なままになります。.
マイクロソフトが説明したように 言う それ:
攻撃者がリモートデスクトッププロトコルに対してこの脆弱性を悪用する方法の例として, 攻撃者は、特別に細工されたアプリケーションを実行し、リモートデスクトッププロトコルセッションに対して中間者攻撃を実行する必要があります。. 攻撃者はプログラムをインストールする可能性があります; 見る, 変化する, またはデータを削除します; または完全なユーザー権限で新しいアカウントを作成します.
すなわち, クライアントとサーバーがRDPおよびWinRMプロトコルを介して認証する場合, 中間者攻撃を開始できます. このような攻撃者は、コマンドをリモートで実行して、ネットワーク全体を危険にさらす可能性があります。. この脆弱性の悪用は、攻撃の標的となるエンタープライズネットワークによっては非常に深刻になる可能性があります.
“十分な権限を持つユーザーからセッションを盗んだ攻撃者は、ローカル管理者権限でさまざまなコマンドを実行する可能性があります. これは、ドメインコントローラーの場合に特に重要です。, ほとんどのリモートプロシージャコール (DCE / RPC) デフォルトで有効になっています,” YaronZinarは説明しました, Preemptの主任セキュリティ研究者, CVEに出くわした警備会社-2018-0886.
脆弱性を修正するアップデートが利用可能です
幸運, 欠陥に対処するセキュリティパッチはすでにリリースされています. この更新により、CredSSpが認証プロセス中に要求を検証する方法が修正されます.
この攻撃から身を守るためにユーザーは何をすべきか? システムでグループポリシー設定を有効にし、リモートデスクトップクライアントをできるだけ早く更新する必要があります. 接続の問題を防ぐために、グループポリシー設定はデフォルトで無効になっていることに注意してください. それらを有効にする方法を学ぶために, ユーザーは提示された指示に従う必要があります ここ.
アップデートは2018年3月に発行されました “火曜日のパッチ”, 全体的なセキュリティアップデートで合計が修正されました 75 問題.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: