久々にヤバイ奴がやってきました(CVE-2019-0708)
CVE-2019-0708:リモート デスクトップ サービスのリモートでコードが実行される脆弱性
です。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0708
microsoftがサポート打ち切ったXPや2003のパッチまで出さざるをえないーくらいヤバいです。
https://support.microsoft.com/ja-jp/help/4500705/customer-guidance-for-cve-2019-0708
ご自分の環境の確認または対処がまだであれば、この記事を読む前に対処をしましょう。
--
自宅のPCのうち Windows10 は脆弱性なし。Windows7 は5月の月次パッチで対処済み。
困ったのはNASとして利用している Windows Home Server です。
Windows 2008 R2 sp1 向けにはMonthlyの KB4499164 で提供されていますが、
リモートデスクトップが前提のOSである Windows Home Server 2011 はサポート切れのためか該当パッチは無いようです。
脆弱性が存在しない可能性も無くはありませんが、ベースはWindows2008R2sp1なのできっとあるでしょう。
マイクロソフトさん、サポート切れOSのXPや2003にリリースするのであればどうか Windows Home Server にもパッチをリリースしてください。
--
仕方がないので自衛(確認)します。
まず、外部からの接続。(インターネット側からはリモート接続しない前提)
グローバルIPアドレスのTCPポート3389に着信した場合>ルータでアドレス/ポート変換しない設定にしているので問題ありませんでした。
次に、内部からの接続。(リモート接続する前提)
WHSでRDPを無効にするのは困難なので回避策を適用します。
回避策:サーバのRDPの設定で「ネットワーク レベル認証 (NLA) を有効にする」
以前独自証明書を作って入れてメインPCからの接続では使っていましたが、必須にはなっていなかったので今回必須にしました。
たぶんココ。システムのプロパティからでも行けます。
対象が多数の場合はグループポリシーから強制が楽ですが失敗すると入れなくなる恐れもあるので適用は慎重に。
(ポリシーの場所)
コンピュータの構成
管理用テンプレート
Windowsコンポーネント
リモートデスクトップサービス
リモートデスクトップセッションホスト
セキュリティ
「リモート接続にネットワークレベル認証を使用したユーザ認証を必要とする」
これで大丈夫・・・なはずです。
【感想】
AWSなどのクラウドサービスでスモールスタートするようなシステムだと意外とRDPオープンしてるところは多いのではないかと思います。
最新OSだけは影響ないのが救いですが、この脆弱性を利用したツールが出回ってきたらかなり深刻な事態になりそうです。
外部からリモート接続したい場合は、専用ソフトの導入も検討してもいいかも知れません。
【今回のキーワード】
CVE-2019-0708
リモートデスクトップサービス/RDP/ターミナルサービス
です。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-0708
microsoftがサポート打ち切ったXPや2003のパッチまで出さざるをえないーくらいヤバいです。
https://support.microsoft.com/ja-jp/help/4500705/customer-guidance-for-cve-2019-0708
ご自分の環境の確認または対処がまだであれば、この記事を読む前に対処をしましょう。
--
自宅のPCのうち Windows10 は脆弱性なし。Windows7 は5月の月次パッチで対処済み。
困ったのはNASとして利用している Windows Home Server です。
Windows 2008 R2 sp1 向けにはMonthlyの KB4499164 で提供されていますが、
リモートデスクトップが前提のOSである Windows Home Server 2011 はサポート切れのためか該当パッチは無いようです。
脆弱性が存在しない可能性も無くはありませんが、ベースはWindows2008R2sp1なのできっとあるでしょう。
マイクロソフトさん、サポート切れOSのXPや2003にリリースするのであればどうか Windows Home Server にもパッチをリリースしてください。
--
仕方がないので自衛(確認)します。
まず、外部からの接続。(インターネット側からはリモート接続しない前提)
グローバルIPアドレスのTCPポート3389に着信した場合>ルータでアドレス/ポート変換しない設定にしているので問題ありませんでした。
次に、内部からの接続。(リモート接続する前提)
WHSでRDPを無効にするのは困難なので回避策を適用します。
回避策:サーバのRDPの設定で「ネットワーク レベル認証 (NLA) を有効にする」
以前独自証明書を作って入れてメインPCからの接続では使っていましたが、必須にはなっていなかったので今回必須にしました。
たぶんココ。システムのプロパティからでも行けます。
対象が多数の場合はグループポリシーから強制が楽ですが失敗すると入れなくなる恐れもあるので適用は慎重に。
(ポリシーの場所)
コンピュータの構成
管理用テンプレート
Windowsコンポーネント
リモートデスクトップサービス
リモートデスクトップセッションホスト
セキュリティ
「リモート接続にネットワークレベル認証を使用したユーザ認証を必要とする」
これで大丈夫・・・なはずです。
【感想】
AWSなどのクラウドサービスでスモールスタートするようなシステムだと意外とRDPオープンしてるところは多いのではないかと思います。
最新OSだけは影響ないのが救いですが、この脆弱性を利用したツールが出回ってきたらかなり深刻な事態になりそうです。
外部からリモート接続したい場合は、専用ソフトの導入も検討してもいいかも知れません。
【今回のキーワード】
CVE-2019-0708
リモートデスクトップサービス/RDP/ターミナルサービス
この記事へのコメント