2019年09月18日 05時00分 公開
特集/連載

両者の意外なつながりWindows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に

2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。

[Rob Wright,TechTarget]
画像

 Microsoftの「リモートデスクトッププロトコル」(RDP)の脆弱(ぜいじゃく)性は、同社のサーバ仮想化ソフトウェア「Hyper-V」とどのような関係があるのか。セキュリティベンダーのCheck Point Software Technologies(以下、Check Point)によれば、大いに関係があるという。

 Check Pointが2019年2月に発見したRDPの脆弱性は、仮想マシン(VM)を管理する機能「Hyper-Vマネージャー」において「VMエスケープ」に利用される可能性があることが分かった。VMエスケープとは、攻撃者がVMから脱出してホストマシンにアクセスすることだ。

 「RDPの脆弱性がHyper-Vの脅威になるとは考えていなかった」とCheck Pointは言う。RDPと、Hyper-VのVMは共通する技術を使っていることから、RDPの脆弱性に関する“膨大な数のコメント”として、RDPの脆弱性がHyper-Vに影響を及ぼす可能性についての質問が寄せられた。

リモート接続先・接続元への“脱出”が可能

 「RDPの脆弱性がHyper-Vと関係があるとは思わなかった。だが驚いたことに、大きな関係があった」と、Check Pointの主任研究員を務めるヤニフ・バルマス氏は振り返る。

 脆弱性研究者であるエイヤル・イトキン氏をはじめとするCheck Pointの研究者は、RDPの脆弱性と、それをHyper-Vに応用する方法を詳しく調べた。「『RDPなどのリモート接続用プロトコルを使えば、接続中は安全だ』という誤った認識がある」とバルマス氏は指摘する。実際、RDPの脆弱性はその認識に反していた。同氏によると、もし悪質なシステムにリモート接続してしまった場合、この脆弱性が原因となり、マルウェアが送り込まれる可能性がある。

 この事実はHyper-VのVMにも当てはまる。RDPの脆弱性を利用することで、ゲストOSからホストOSへのVMエスケープが可能になることが、Check Pointの調査で判明した。つまり、悪意のある攻撃者がRDPの脆弱性を悪用してゲストOSのVMから抜け出し、マルウェアをホストOSに送り込むこともできる。

 2019年8月開催のセキュリティカンファレンス「Black Hat USA 2019」に登壇したイトキン氏は講演で、こうした攻撃を「怠惰な横移動」と形容した。攻撃者は特定の環境の中でさまざまなシステムへの接続を試して積極的に動き回るのではなく、1つのシステムを制御し、標的がその「汚染されたRDPクライアント」に接続するのを待ってマルウェアに感染させ、認証情報を盗む手口を取る。

当初は重要視していなかったMicrosoft

ITmedia マーケティング新着記事

news153.jpg

「Indeed」「ZOOM」がワンツーフィニッシュ 米国ビジネスアプリダウンロードTOP5(2019年10月度)
世界のモバイルアプリの潮流を分析。今回はiOSとAndroidにおける米国ビジネスアプリダウ...

news073.jpg

モバイルアプリの成長を後押しするテレビCMには2つのタイプがあると判明――フラーとエム・データ調べ
フラーはエム・データと共同で、モバイルアプリに関するテレビCMの放映回数・時間とアプ...

news023.jpg

Cookieによる効果測定に不足を感じる広告宣伝担当者が増加――サイカ調査
広告配信などにおけるCookie利用の制限が検討されています。一方で、企業の広告宣伝担当...