<SigRedの概要>
SigRedは、セキュリティ企業Check Point Software Technologiesによって2020年7月14日に公開された脆弱性です。 この脆弱性を悪用すると、攻撃者は組織のDNSサーバーを制御できるようになります。そして、多くの場合、ドメイン管理者の権限を所持することによって、攻撃者がさらにドメインに参加しているすべてのWindowsマシンを完全に制御できるようになります。
この脆弱性はMicrosoftのDNSサーバーで発見され、 攻撃者がネットワークの内部へ侵入し機器を制御したり、あるいは(以降で示すように)、”ネットワークの外部”からも攻撃にさらされる可能性があり、より危険性が増します。
<悪用されるリスク>
この脅威的な攻撃手法の前提条件は、ローカル組織にあるDNSサーバーがルートヒントを使用して、外部ドメインへのクエリを再帰的に解決するように構成されていることです。 そして、これはDNSサービスがインストールされているときの、”デフォルトとしての構成”なのです。
次の構成では、この脆弱性を悪用するのがより難しくなるか、あるいは不可能です。
- DNSサーバーは、DNSゾーンで権限のあるサーバーであり、他のドメインへのクエリを再帰的に解決しない。
- DNSサーバーは、エアギャップネットワークなどの独立したDNS構成の一部であり、攻撃者はDNSサーバーへの書き込みアクセス権限を必要とする。または、DNSサーバーは、ネットワーク上の任意のゾーンにサービスを提供している別のDNSサーバーを制御する権限を必要とする。
- DNSサーバーは、ルートヒントを直接使用するのではなく、フォワーダーサーバー(8.8.8.8や1.1.1.1など)を使用するように構成されていて、攻撃者は再帰呼び出しのチェーンを通じて攻撃を伝播する必要がある。今のところ、この方法は不可能だと証明されてはいるが、完全に防げるものではない。
一方、 この脆弱性は内部のネットワークだけでなく、 下記のように外部のネットワークからも悪用される可能性があります。
- ネットワークの内部から:ネットワーク内の機器を狙った攻撃では、攻撃者(www.evil.comなど)が制御する外部ドメインレコードのクエリを送信することにより、組織のローカルDNSサーバーを危険にさらします。このようなリクエストにより、ローカルDNSサーバーは攻撃者のDNSサーバーと直接通信します。攻撃者のサーバーからの悪意を持って作成された応答により、攻撃者がローカルのDNSサーバーを侵害する可能性があります。
-
ネットワークの外部から:攻撃者は、悪意のあるリンクをネットワーク内のユーザーに、攻撃者が制御するWebサイトの情報と(例えば、電子メールを介して)送信できます。ユーザーがMicrosoft Edge LegacyまたはInternet Explorer(Google Chrome、Mozilla Firefox、またはMicrosoft Edge Chromiumには適用されず、他のブラウザーではテストされていません)で、このリンクを開くと、悪意のあるWebページがクライアントに送り返され、クライアントが攻撃の起点となります。そして、クライアント自体がローカル組織のDNSサーバーに一連のDNSクエリを実行し、攻撃者のDNSサーバーにもクエリを実行します。この時点で、DNSサーバーは上記のネットワークの内部からの悪用と同じ方法で侵害される可能性があります。
<OTネットワークが攻撃されるリスク>
ほとんどのOTネットワークには、プロセス制御、技術メンテナンスなどに使用されるWindows端末が存在します。 攻撃者がネットワークの内部または外部から、この脆弱性を悪用すると、ドメイン管理者の権限を取得し、すでにパッチを適用している場合であっても、ドメインに参加しているすべてのワークステーションおよびサーバーへのフルアクセスを許可できます。
この時点で、攻撃者はランサムウェア、マルウェアのインストール、機密情報の盗用、OT操作の妨害、さらにはドメイン内の任意のマシンへのアクセスを任意の目的で行えるようになります。
多くのOTネットワークは、ITネットワークよりもシステムへパッチを適用するのが遅いため、攻撃者この脆弱性を悪用できるように、より長い時間、脅威にさらされます。 悪用に成功するとドメイン管理者の権限が得られることが多いため、他のすべてのDNSサーバーに既にパッチが適用されていたとしても、パッチを適用していない単一のDNSサーバーが原因となりOTネットワーク全体を危険にさらすことへとつながります。
<推奨される解決策>
Microsoftは、この脆弱性に対するパッチを2020年7月14日にリリースしました。 まずは、可能な限り、Microsoft Windowsサーバーを更新することをお勧めします。
もし、何らかの理由で現在使用中のWindowsサーバーへパッチを適用できない場合は、次のコマンドを実行すると、DNS応答サイズが0xFF00(65280)に制限されるため、今回の脆弱性が無効となります。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /fnet stop DNS && net start DNS
SCADAfence eBookのご紹介
(画像クリックでダウンロードページへ)
SCADAfence eBook #1
『OTネットワークセグメンテーション:課題と解決策』
SCADAfence eBook #2
『制御システム=OT向けセキュリティフレームワークの実装を成功させるポイントとは』
SCADAfence eBook #3
『リモートメンテナンスの促進で担当者を悩ますOTセキュリティ事情』
SCADAfence eBook #4
『OTネットワークにおける資産の可視化とセキュリティ対策の理想型』
SCADAfence eBook #5
『IoT時代の製造業における資産管理とリスクマネジメントのベストプラクティス』