NCSCおよびUS-CERTから注意喚起が出されたMicrosoft SharePointの脆弱性(CVE-2020-16952)ついて
英国のNCSC(National Cyber Security Center)より、現地時間の2020年10月16日、Microsoft SharePointの脆弱性(CVE-2020-16952)に関する注意喚起が発行されました。
その後、US-CERTからも同様にして、注意喚起が発行されています。
なお、マイクロソフトはすでにパッチを公開しており、先日の10月の更新プログラムにも含まれていることが確認できます。
https://www.jpcert.or.jp/at/2020/at200038.html
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-16952
NCSCおよびUS-CERTが注意喚起を発行した背景など、筆者なりの考察を含め、まとめてみます。
目次
CVE-2020-16952の概要
まず、CVE-2020-16952の概要をまとめてみます。
大前提として、SharePointはMicrosoftが提供するファイル共有サービスで、多くの企業において使われているソフトウェアです。
- 脆弱性の概要
- ユーザが提供したデータ検証不備によるSSI(Server Side Includes)インジェクションの脆弱性
- SSIはHTML内にWebサーバで実行するコマンドを埋め込んでおき、サーバで実行した結果を返す機能
- SSI機能が有効で、攻撃者がHTMLに任意のコマンドを埋め込める場合、Webサーバで任意のコードが実行される可能性がある。
- 今回の場合、ユーザが特別に細工したSharePointアプリケーションパッケージを、影響を受けるバージョンのSharePointにアップロードするときに悪用される可能性がある。
- 脆弱性の悪用により、攻撃者は任意のコードが実行可能
- ローカルの管理者権限で、SharePoint Serverがインストールされた環境に影響を与えられる
- 脆弱性の悪用には認証が必要
- さらに、ページ作成権限が必要(デフォルトのSharePoint権限)
- ユーザが提供したデータ検証不備によるSSI(Server Side Includes)インジェクションの脆弱性
詳細については、発見者による記事およびRapid7の公開している分析記事が参考になりますので、併せてご確認ください。
また、脆弱性の発見者により、脆弱性の実証コード(PoC)が公開されています。
https://srcincite.io/pocs/cve-2020-16952.py.txt
PoCの公開により、実行が容易になったと考えると、早急なパッチ適用が求められます。
そして、このことが、今回注意喚起が発行された理由の一つとして考えられます。
なお、上記のPoC公開と合わせ、報告者の記事では、PoCを使った攻撃の検出方法が紹介されているので併せてご確認ください
- 文字列
runat = "server"
を含むHTTPヘッダーを識別し、SharePointページの作成を監視すること
影響を受けるバージョン
今回の脆弱性について、影響を受けるバージョンは以下にて示されています。
- 影響を受けるバージョン
- Microsoft SharePoint Foundation 2013 Service Pack 1
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Server 2019
また、Rapid7のリサーチャーによると、10月5日時点で、443/tcpで約15,000のSharePointサービスが見つかり、公開されているインスタンスのほとんどがSharePoint2010および2013だとのことでした。
On Tuesday Microsoft provided patches for CVE-2020-16952 for SharePoint 2013, 2016, and 2019. We took a look at our October 5th data & found about 15,000 SharePoint services on 443/tcp.
— Tom Sellers (@TomSellers) 2020年10月15日
It looks like most of the public facing instances are running SharePoint 2010 and 2013. pic.twitter.com/F7yiJ6hnio
SharePointの過去の脆弱性と今後の懸念点
今回、SharePointの脆弱性について、注意喚起が発行された背景として、PoC公開の他にも理由があると、筆者は考えています。
皆さんも記憶に新しいとは思いますが、ZeroLogon脆弱性について、そのリスクの高さを考慮し、各機関より注意喚起が発行され、企業においても対応が進められています。
このZeroLogon脆弱性の件について、マイクロソフトが公開した記事では、侵入の起点として、SharePointの脆弱性CVE-2019-0604が利用され、その後ZeroLogon脆弱性を悪用したドメインコントローラーへの攻撃につながったことが記載されています。
また、ZeroLogon以外の観点では、US-CERTが公開している「日常的に悪用される脆弱性トップ10」において、SharePointが関連する脆弱性の存在が2つ確認できます。 - CVE-2019-0604 - CVE-2015-1641
これら過去の事実を踏まえ、注視すべき脆弱性として今回のCVE-2020-16952が位置づけられ、注意喚起発行につながったのではないかと、個人的には考えています。
まとめ
各組織でファイル共有ソフトの活用が進んでいく中、Office365を使っていて、ほとんどの業務ツールをMicrosoftのソフトウェアでまかなっている企業も多いのではないかと、思っています。
マイクロソフトでは、毎月第二火曜日(現地時間)にセキュリティアップデートを公開しています。
そして今回のように、関連する内容が報告者やセキュリティベンダーによって公開されることも多いです。
そのため、可能な範囲で、自身や自組織が使っているサービスやソフトウェアの関連情報は確認しておくと良さそうですね。
ちなみに、ファイル共有ソフトについて、筆者はバージョン管理だったり共同編集だったり、あまり使いこなせてない側の人間です笑
このあたりのノウハウも色々知って、取り入れて行きたいなーなんて思う今日この頃。 さらに言うと、仕事でもプライベートでも色々と試行錯誤できるように、飲み会とかでラフに情報交換したいなーっていう結論に至るわけですが笑