Windows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に両者の意外なつながり

2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。

2019年09月18日 05時00分 公開
[Rob WrightTechTarget]
画像

 Microsoftの「リモートデスクトッププロトコル」(RDP)の脆弱(ぜいじゃく)性は、同社のサーバ仮想化ソフトウェア「Hyper-V」とどのような関係があるのか。セキュリティベンダーのCheck Point Software Technologies(以下、Check Point)によれば、大いに関係があるという。

 Check Pointが2019年2月に発見したRDPの脆弱性は、仮想マシン(VM)を管理する機能「Hyper-Vマネージャー」において「VMエスケープ」に利用される可能性があることが分かった。VMエスケープとは、攻撃者がVMから脱出してホストマシンにアクセスすることだ。

 「RDPの脆弱性がHyper-Vの脅威になるとは考えていなかった」とCheck Pointは言う。RDPと、Hyper-VのVMは共通する技術を使っていることから、RDPの脆弱性に関する“膨大な数のコメント”として、RDPの脆弱性がHyper-Vに影響を及ぼす可能性についての質問が寄せられた。

リモート接続先・接続元への“脱出”が可能

 「RDPの脆弱性がHyper-Vと関係があるとは思わなかった。だが驚いたことに、大きな関係があった」と、Check Pointの主任研究員を務めるヤニフ・バルマス氏は振り返る。

 脆弱性研究者であるエイヤル・イトキン氏をはじめとするCheck Pointの研究者は、RDPの脆弱性と、それをHyper-Vに応用する方法を詳しく調べた。「『RDPなどのリモート接続用プロトコルを使えば、接続中は安全だ』という誤った認識がある」とバルマス氏は指摘する。実際、RDPの脆弱性はその認識に反していた。同氏によると、もし悪質なシステムにリモート接続してしまった場合、この脆弱性が原因となり、マルウェアが送り込まれる可能性がある。

 この事実はHyper-VのVMにも当てはまる。RDPの脆弱性を利用することで、ゲストOSからホストOSへのVMエスケープが可能になることが、Check Pointの調査で判明した。つまり、悪意のある攻撃者がRDPの脆弱性を悪用してゲストOSのVMから抜け出し、マルウェアをホストOSに送り込むこともできる。

 2019年8月開催のセキュリティカンファレンス「Black Hat USA 2019」に登壇したイトキン氏は講演で、こうした攻撃を「怠惰な横移動」と形容した。攻撃者は特定の環境の中でさまざまなシステムへの接続を試して積極的に動き回るのではなく、1つのシステムを制御し、標的がその「汚染されたRDPクライアント」に接続するのを待ってマルウェアに感染させ、認証情報を盗む手口を取る。

当初は重要視していなかったMicrosoft

ITmedia マーケティング新着記事

news064.jpg

「日本の食料自給率38%」への不安感は8割越え
クロス・マーケティングは、大気中の二酸化炭素濃度や紫外線量の増加による地球温暖化の...

news066.jpg

「マツキヨココカラ公式アプリ」が「Temu」超えの初登場1位 2024年のEコマースアプリトレンド
AdjustとSensor Towerが共同で発表した「モバイルアプリトレンドレポート 2024 :日本版...

news081.jpg

「RevOps」に関する実態調査 収益向上への実感やCROの設置率は?
ウイングアーク1stが実施した「RevOpsに関する実態調査」の結果です。