Windowsのほとんど使われない機能「MSMQ」で“PCが危険になる”可能性:Windowsサービスの「致命的な脆弱性」【中編】
「Windows」搭載のメッセージングサービスに、複数の脆弱性が見つかった。なぜ危険なのか。Windows管理者は攻撃を防ぐために何を確認すればいいのか。
2023年4月、セキュリティベンダーCheck Point Software Technologies(以下、Check Point)は、MicrosoftのOS「Windows」が搭載する機能に3つの脆弱(ぜいじゃく)性があることを自社のブログで公表した。これらの脆弱性を悪用すると、どのような攻撃が可能になるのか。Windows管理者は何に気を付ければいいのか。
「そもそもMSMQが危険」だと考えるべき?
併せて読みたいお薦め記事
連載:Windowsサービスの「致命的な脆弱性」
脆弱性関連の注目記事
Check Pointのハイフェイ・リー氏が開示した3つの脆弱性は、Microsoftのメッセージキューイングサービス「Microsoft Message Queuing」(MSMQ)における以下の脆弱性だ。
- CVE-2023-21554(別名QueueJumper)
- CVE-2023-21769
- CVE-2023-28302
QueueJumperは、標的のサーバで不正なプログラムを動作させるリモートコード実行(RCE)を可能にする。攻撃者が悪用した場合でもユーザーは気付きにくいという点で特に危険だと言える。
MicrosoftはMSMQを数年間アップデートしておらず、事実上サービスは終了しているも同然の状態だ。しかしMSMQは2023年6月時点でも使用可能で、設定ツールの「コントロールパネル」やコマンド実行ツール「PowerShell」のコマンドを使えば有効化できる。リー氏はこの点を問題点として指摘する。
QueueJumperを悪用する攻撃者は、TCP(伝送制御プロトコル)の1801番ポートにアクセスして、標的のサーバでRCEを実行できた恐れがある。つまり「悪意のあるパケットを1801番ポートに1つ送信するだけで、MSMQの一連のプロセスを乗っ取ることができる」(リー氏)ということだ。
Check Pointの研究所Check Point Researchは、MSMQの危険性を詳細に把握するために、インターネットに接続している機器のスキャンを実施した。その結果、MSMQを実行し、かつTCPの1801番ポートをインターネットに開放しているIPアドレスが36万件以上存在する状況が浮かび上がった。この件数はインターネットに公開されているPCのみを対象とし、社内LANでMSMQを実行するPCは含まない。
MSMQを使用するアプリケーションは複数存在する。このようなアプリケーションをWindows搭載PCにインストールした場合、ユーザーが気付かないうちにMSMQが有効になる可能性がある。
Check PointがWindows管理者に推奨する対策は以下の通りだ。
- サーバとクライアント端末にMSMQがインストールされているかどうかをチェックすること
- PCでMSMQが実行されているかどうかを確認すること
- TCPの1801番ポートがリッスン状態(外部からの接続を待機している状態)かどうかを確認すること
PCにMSMQがインストール済みの場合、「MSMQが本当に必要かどうかを検討するべきだ」とリー氏はアドバイスする。「不要な攻撃対象を排除することが、セキュリティ対策の非常に優れたベストプラクティスだ」(同氏)
後編は、RCEを引き起こす可能性があるWindows製品の脆弱性を紹介する。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.