2019年09月18日 05時00分 公開
特集/連載

両者の意外なつながりWindows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に

2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。

[Rob Wright,TechTarget]
画像

 Microsoftの「リモートデスクトッププロトコル」(RDP)の脆弱(ぜいじゃく)性は、同社のサーバ仮想化ソフトウェア「Hyper-V」とどのような関係があるのか。セキュリティベンダーのCheck Point Software Technologies(以下、Check Point)によれば、大いに関係があるという。

 Check Pointが2019年2月に発見したRDPの脆弱性は、仮想マシン(VM)を管理する機能「Hyper-Vマネージャー」において「VMエスケープ」に利用される可能性があることが分かった。VMエスケープとは、攻撃者がVMから脱出してホストマシンにアクセスすることだ。

 「RDPの脆弱性がHyper-Vの脅威になるとは考えていなかった」とCheck Pointは言う。RDPと、Hyper-VのVMは共通する技術を使っていることから、RDPの脆弱性に関する“膨大な数のコメント”として、RDPの脆弱性がHyper-Vに影響を及ぼす可能性についての質問が寄せられた。

リモート接続先・接続元への“脱出”が可能

 「RDPの脆弱性がHyper-Vと関係があるとは思わなかった。だが驚いたことに、大きな関係があった」と、Check Pointの主任研究員を務めるヤニフ・バルマス氏は振り返る。

 脆弱性研究者であるエイヤル・イトキン氏をはじめとするCheck Pointの研究者は、RDPの脆弱性と、それをHyper-Vに応用する方法を詳しく調べた。「『RDPなどのリモート接続用プロトコルを使えば、接続中は安全だ』という誤った認識がある」とバルマス氏は指摘する。実際、RDPの脆弱性はその認識に反していた。同氏によると、もし悪質なシステムにリモート接続してしまった場合、この脆弱性が原因となり、マルウェアが送り込まれる可能性がある。

 この事実はHyper-VのVMにも当てはまる。RDPの脆弱性を利用することで、ゲストOSからホストOSへのVMエスケープが可能になることが、Check Pointの調査で判明した。つまり、悪意のある攻撃者がRDPの脆弱性を悪用してゲストOSのVMから抜け出し、マルウェアをホストOSに送り込むこともできる。

 2019年8月開催のセキュリティカンファレンス「Black Hat USA 2019」に登壇したイトキン氏は講演で、こうした攻撃を「怠惰な横移動」と形容した。攻撃者は特定の環境の中でさまざまなシステムへの接続を試して積極的に動き回るのではなく、1つのシステムを制御し、標的がその「汚染されたRDPクライアント」に接続するのを待ってマルウェアに感染させ、認証情報を盗む手口を取る。

当初は重要視していなかったMicrosoft

ITmedia マーケティング新着記事

news135.jpg

LINE広告ネットワークで「動画リワード広告」の提供を開始
新たな広告収益源の創出に加え、インセンティブ付与によるアプリ内の活性化も促進。

news102.jpg

福田康隆氏がアドビ退社後初めて語ったB2Bマーケティング&セールスと自身の「これから」の話
アドビ システムズ専務執行役員の座を退いた福田康隆氏が新天地ジャパン・クラウドで再始...

news084.jpg

「応援消費」についてジャパンネット銀行が調査 共感できるものにお金を使いたい人が6割
人や企業、地域などを応援する目的の「応援消費」に関する調査です。