Microsoftが、Defender関連の2つの脆弱性に対する修正パッチを公開しました。
しかもただの脆弱性ではなく、「ゼロデイ」 です。ゼロデイというのは、攻撃に使われていることが先に分かっていたり、修正が出る前に悪用されていたりする状態のこと。要するに、かなりイヤなやつです。
今回修正されたのは以下の2件です。
Microsoftによると、Microsoft Defenderが無効になっているシステムは、この脆弱性の影響を受けない とのことです。
ただし、Defenderのファイル自体はディスク上に残っている場合があるそうです。
ここは少し面白いところです。
「Defenderをオフにしているなら大丈夫」と聞くと安心したくなりますが、実運用ではそう単純ではありません。DefenderはWindowsの標準セキュリティ機能なので、完全に切っている環境は限られますし、管理の都合で有効なまま運用している企業も多いはずです。つまり、影響範囲は意外と広いのではないか と思います。
Microsoftは詳細を多く語っていませんが、SecurityWeekの記事では、Microsoft MVPの Fabian Bader による投稿として、今回の2件は研究者 Chaos Eclipse が先月公開した BlueHammer exploit の派生版、RedSun と UnDefend だとされています。
BlueHammer自体も、すでに実際の攻撃で悪用されていたとのこと。
つまり今回の話は、
という、セキュリティ界隈ではおなじみだけれど、やっぱり胃が痛くなる流れです。
率直に言うと、公開されたばかりの攻撃手法が、すぐ現実の攻撃に転用されるのは本当に速い です。防御側はどうしても後手に回りやすいので、パッチ適用のスピードが勝負になります。
米国のサイバーセキュリティ機関 CISA は、今回の2つの脆弱性を KEV(Known Exploited Vulnerabilities)リスト に追加しました。
KEVリストは、「実際に悪用が確認された脆弱性一覧」 のようなものです。
ここに入ると、単なる理論上の危険ではなく、本当に攻撃に使われている とみなされます。
CISAは連邦機関に対して、6月3日までに修正 するよう求めています。
しかも今回のKEV追加はこの2件だけではなく、5つの古い脆弱性 も一緒に入っています。中には2008年や2009年のものも含まれていて、正直かなり驚きます。
今回KEVに追加された古い脆弱性には、たとえばこんなものがあります。
こうして見ると、「10年以上前の脆弱性なんてもう関係ないでしょ」とは言い切れません。
実際には、古いシステム、古いソフト、長年放置された環境 が残っていると、こういう弱点が何年も生き続けます。これはかなり現場あるあるです。理想論ではなく、資産管理とパッチ管理の地道さが問われる話だと思います。
今回のポイントは、単に「Microsoftがパッチを出しました」ではありません。
本当に重要なのは、Defenderという“守るための製品”に、しかも実際に悪用されたゼロデイがあった という点です。
セキュリティ製品は、攻撃者から見ると「まず壊したいもの」です。
守りの要が崩れると、その後の侵入や横展開がやりやすくなるからです。
だからこそ、Defenderのようなエンドポイント保護製品の脆弱性は、数字以上に重く受け止めるべきだと思います。
SecurityWeekの記事が示している通り、すべての組織はCISAのKEVリストを確認し、できるだけ早く対処するべき です。
特に今回のように、
という条件がそろうと、優先度はかなり高いです。
個人的には、こういうニュースを見るたびに「脆弱性対応は“あとでやる仕事”ではない」と再認識します。
攻撃者は待ってくれません。むしろ、公開された瞬間から全力で試しに来ます。だから、パッチは“いつか”ではなく、できるだけ早く が基本です。
参考: Microsoft Patches Exploited UnDefend and RedSun Defender Zero-Days
