Windows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に：両者の意外なつながり

2019年2月、Microsoftの「リモートデスクトッププロトコル」（RDP）に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。

[Rob Wright，TechTarget]

　Microsoftの「リモートデスクトッププロトコル」（RDP）の脆弱（ぜいじゃく）性は、同社のサーバ仮想化ソフトウェア「Hyper-V」とどのような関係があるのか。セキュリティベンダーのCheck Point Software Technologies（以下、Check Point）によれば、大いに関係があるという。

　Check Pointが2019年2月に発見したRDPの脆弱性は、仮想マシン（VM）を管理する機能「Hyper-Vマネージャー」において「VMエスケープ」に利用される可能性があることが分かった。VMエスケープとは、攻撃者がVMから脱出してホストマシンにアクセスすることだ。

　「RDPの脆弱性がHyper-Vの脅威になるとは考えていなかった」とCheck Pointは言う。RDPと、Hyper-VのVMは共通する技術を使っていることから、RDPの脆弱性に関する“膨大な数のコメント”として、RDPの脆弱性がHyper-Vに影響を及ぼす可能性についての質問が寄せられた。

リモート接続先・接続元への“脱出”が可能

　「RDPの脆弱性がHyper-Vと関係があるとは思わなかった。だが驚いたことに、大きな関係があった」と、Check Pointの主任研究員を務めるヤニフ・バルマス氏は振り返る。

　脆弱性研究者であるエイヤル・イトキン氏をはじめとするCheck Pointの研究者は、RDPの脆弱性と、それをHyper-Vに応用する方法を詳しく調べた。「『RDPなどのリモート接続用プロトコルを使えば、接続中は安全だ』という誤った認識がある」とバルマス氏は指摘する。実際、RDPの脆弱性はその認識に反していた。同氏によると、もし悪質なシステムにリモート接続してしまった場合、この脆弱性が原因となり、マルウェアが送り込まれる可能性がある。

　この事実はHyper-VのVMにも当てはまる。RDPの脆弱性を利用することで、ゲストOSからホストOSへのVMエスケープが可能になることが、Check Pointの調査で判明した。つまり、悪意のある攻撃者がRDPの脆弱性を悪用してゲストOSのVMから抜け出し、マルウェアをホストOSに送り込むこともできる。

　2019年8月開催のセキュリティカンファレンス「Black Hat USA 2019」に登壇したイトキン氏は講演で、こうした攻撃を「怠惰な横移動」と形容した。攻撃者は特定の環境の中でさまざまなシステムへの接続を試して積極的に動き回るのではなく、1つのシステムを制御し、標的がその「汚染されたRDPクライアント」に接続するのを待ってマルウェアに感染させ、認証情報を盗む手口を取る。

併せて読みたいお薦め記事

リモートデスクトップの脆弱性

• Windows 7やXPも無関係ではない脆弱性「BlueKeep」、PoCエクスプロイトが続々登場
• Windows XPにもパッチを提供　脆弱性「BlueKeep」はなぜ危険か

さまざまなデスクトップ仮想化方式

• 「VDI」「RDS」の違いは？　クライアント仮想化の2大手段を比較
• Microsoft、Citrix、VMware　仮想デスクトップの画面転送プロトコルに違いは？
• 「アプリケーション仮想化」と「デスクトップ仮想化」の違いを比較

当初は重要視していなかったMicrosoft