Windows 11 RDP セキュリティ強化:ブルートフォース攻撃に対するデフォルト保護機能の追加

Microsoft Adds Default Protection Against RDP Brute-Force Attacks in Windows 11

2022/07/25 TheHackerNews — Microsoft は Windows 11 の最新ビルドの一部において、Remote Desktop Protocol (RDP) ブルートフォース攻撃防止の措置を講じることで、進化する脅威に対するセキュリティ水準を高めようとしている。この措置により、Windows 11 ビルド (特に Insider Preview ビルド 22528.1000 以降) のデフォルト・ポリシーでは、無効なサインインを 10 回試行すると、アカウントが自動的に 10 分間ロックされるようになる。

Microsoft の VP for OS Security and Enterprise である David Weston は、先週の一連のツイートで、「Windows 11 ビルドでは、RDP などのブルートフォース・パスワード・ベクターを軽減するために、デフォルトのアカウント・ロックアウト・ポリシーが導入されている。人手によるランサムウェア攻撃などで、頻繁に使われている手法を抑制することで、ブルートフォース攻撃がずっと難しくなる。これは素晴らしいことだ」と述べている。

このアカウント・ロックアウトの設定は、Windows 10 で既に導入されているが、デフォルトでは有効になっていないことを指摘しておきたい。

この機能は、同社が Office 文書の VBA (Visual Basic Application) マクロのブロックを再開したことに続くもので、旧バージョンの Windows/Windows Server にもバックポートされる予定だ。


悪意のマクロは別として、RDP に対するブルートフォース攻撃は、脅威者が Windows システムに不正アクセスするために使用する、最も一般的な手法の1つとなってきた。

2022年において最も活発なランサムウェアの1つである LockBit は、最初の足がかりと、その後の活動において、RDP に依存する頻度が高いとされている。同じメカニズムの悪用が確認されているランサムウェア・ファミリーには、Conti/Hive/PYSA/Crysis/SamSam/Dharma などがある。

この新しいセキュリティ機能を導入する目的は、RDP 攻撃の有効性の大幅な低下/パスワードの推測/認証情報の漏洩などに依存した侵入の防止にある。

2021年に Zscaler は、「RDP への攻撃は、脅威アクターが、Windows システムにアクセスし、マルウェアを実行する際に使用する最も一般的な方法である。脅威アクターたちは、一般に公開されている RDP ポートをスキャンして、分散型ブルートフォース攻撃を実施する。脆弱な認証情報を使用するシステムは格好の標的であり、いったん侵害されると、攻撃者はハッキングしたシステムへのアクセスを、他のサイバー犯罪者に対してダークウェブ上で販売する」と述べている。

同時に Microsoft は、アカウント・ロックアウトのしきい値に関する、ポリシー設定を悪用することで、組織化される可能性のあるサービス拒否 (DoS) 攻撃について文書で警告している。

Microsoft は、「悪意のユーザーが、組織内のすべてのユーザーに対して、プログラムによる一連のパスワード攻撃を試みる可能性がある。試行回数がアカウント・ロックアウトのしきい値の値より大きい場合、攻撃者はすべてのアカウントをロックする可能性がある」と指摘している。

最近の Microsoft RDP に関しては、1月13日の「Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる」と、6月17日の「Windows の RDP named pipe 問題:この脆弱に2回目の CVE-2022-24533 が採番された理由」という記事がありました。なお、イニシャル・アクセスの販売などについては、6月2日に Intel 471 のレポートをベースにした記事が、ポストされています。よろしければ、ご参照ください。

%d bloggers like this: