Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる

Microsoft RDP Bug Enables Data Theft, Smart-Card Hijacking

2022/01/13 DarkReading — 少なくとも、Microsoft Windows Server 2012 R2 以降のシステムは、Remote Desktop Services プロトコルの脆弱性の影響を受けるようだ。この脆弱性により、RDP 経由でリモートシステムに接続した攻撃者は、接続している正当なユーザーたちの、そのマシン上のファイル・システムにアクセスすることが可能になる。

この脆弱性を悪用する攻撃者は、クリップボード・データの閲覧/変更や、マシンにログインしている他ユーザーへの成りすまし、権限の拡大、ネットワーク上の移動などが可能になると、CyberArk の研究者たちは指摘している。彼らは、この問題を Microsoft に報告し、Microsoft の January 2022 Patch Tuesday プログラムで、脆弱性 CVE-2022-21893 に対するパッチが発行された。

Microsoft の RDP は、ユーザーがリモート・クライアントから Windows システムにアクセスし、あたかもローカルで作業しているかのような制御を可能にする。具体的には、IT ヘルプデスクやサポートのためのリモート・アクセスや、リモートの従業員に対するオフィス・リソース・アクセスの提供、クラウド環境の仮想マシンへのアクセスなどの、さまざまな理由で使用されている。

RDP では、1つの接続を複数の仮想チャネルに分割することが可能だ。これらのチャネルのデータは、”名前付きパイプ “と呼ばれる Windows サービスを介して他のプロセスに渡される。CyberArk の Software Architect である Gabriel Sztejnworcel は、「名前付きパイプは、Windows マシン上で動作する、2つのプロセス間で通信を行うためのメカニズムだ。Windows Remote Desktop Services は、クライアントとリモートの間で、クリップボードのデータやスマートカードの認証データなどのデータを受け渡すために、この名前付きパイプを使用している」と述べている。

今回、CyberArk が発見した脆弱性は、ある状況下での名前付きパイプの作成方法に関連している。この脆弱性は、ユーザーが名前付きパイプのサーバー・インスタンスを作成することで、リモート・システムとクライアント・システムの間でやり取りされる特定のデータが、悪意を持って作成されたパイプを経由して流れてしまうというものだ。

攻撃者は、この欠陥を利用して中間者 (man-in-the-middle) を確立し、リモート・システムに接続されたクライアント・デバイスのクリップボード内のデータや、ユーザーがクライアント・デバイスを認証するために入力する、スマートカードの PIN などを傍受できる。

Sztejnworcel によると、CyberArk の研究者たちは、RDS 経由でリモート・マシンに接続している非特権ユーザーが、この脆弱性を悪用するこいとで、同じリモート・マシンに接続している他ユーザーのセッションから、データを傍受/閲覧/変更できることを発見した。研究者たちは、「この脆弱性を利用して、他ユーザーのクライアント・マシンのファイル・システムへのアクセスや、他ユーザーのスマートカードや PIN 番号による認証などが可能となり、事実上、被害者の身元に成りすますことができる。最も重要なのは、これが特権の拡大につながることだ」と述べている。

Sztejnworcel は、「CyberArk が発見した脆弱性は、悪用が難しいものではない。我々は、独自のパイプ・サーバー・インスタンスを作成するシンプルなエクスプロイトツールを開発し、それを使って被害者のファイル・システムにアクセスし、被害者がリモート・システムからコピー・ペーストした全てを傍受し、許可されたユーザーとしてリソースにログオンするための、スマートカードの PIN を盗む方法を示した」と述べている。

リモート・システムに対して、複数のクライアント・デバイスが接続される状況は多様だ。ユーザーが内部ネットワークにアクセスするために接続するジャンプボックスは、その一例である。同様に、セッション・ベースのデスクトップ環境では、多くのユーザーが同じマシンに接続し、アプリケーションを実行できる。

彼は、「簡単なソーシャル・エンジニアリング技術を使って、高い権限を持つユーザーを騙し、攻撃者が既に接続しているマシンにログインを促すことも可能だ。その対象は、他のサーバーでも、個人のワークステーションでも構わない。脆弱性を利用するために、高い権限は不要であり、マシン自体を危険にさらす必要もない」と述べている。

お気に入りの攻撃対象

長い年月をかけて、攻撃者たちは Microsoft の RDP を利用し、企業ネットワークへの最初の足がかりを得ようとしてきた。多くの場合、攻撃者は、ネットワークに侵入するために、RDP サービスがインターネットに公開されているデバイスを、探す以外に方法はなかった。そのため、イニシャル・アクセス・ブローカーは、RDP サービスが公開されているサーバーの膨大なリストを作成し、ランサムウェア運営者などの脅威グループに有料で提供してきた。

Palo Alto Networks が昨年に実施した調査によると、企業が Web 上で公開しているサービスのうち、RDP が占める割合は約 30% だった。このプロトコルを標的とした攻撃は、COVID-19 パンデミックをきっかけに、企業がリモート分散した作業環境に切り替えたことで、2020年の春に急増し、その状態が現在も続いている。

RDP には、他の脆弱性も存在してきた。その一例が、2019年に研究者が発見した、RDP における深刻なリモートコード実行の脆弱性 BlueKeep CVE-2019-0708 である。この欠陥は、Windows XP/Windows 7/Windows Server 2008 を含む、複数のレガシー・バージョンの Windows RDP に影響を与えた。もう1つの例は、Check Point が Black Hat USA 2019で公開した、リバース RDP の脆弱性 CVE-2019-0887 である。

文中にある CVE-2022-21893 は、お隣のキュレーション・チームに確認したところ、1月12日にレポートがアップされており、すべての Windows バージョンが対象になっているとのことです。January 2022 Patch Tuesday で対応済みなので、すでにパッチが適用されていると思いますが、まだの方はお急ぎください。この脆弱性を発見した CyberArk に感謝です。

%d bloggers like this: