3月11日(米国時間)、SMBv3にリモートコード実行が可能となる脆弱性が存在する事をCERT/CCが公開を行いました。
本脆弱性公開直後は、以下の方法にて暫定対処を行うようにアナウンスが行われておりました。
- SMBv3の圧縮処理機能を無効化
- 外部からのSMB接続をブロック
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
3月12日(米国時間)、正式パッチの配布が行われたため、現在は正式パッチ適用が推奨されております。
https://support.microsoft.com/ja-jp/help/4551762/windows-10-update-kb4551762
もし、対象クライアントに対してすぐに正式パッチ適用が行えない場合、TippingPoint にて一時対策(仮想パッチ)を行う事が可能です。
3月12日(日本時間)、緊急配信として DV #9394 にて今回の脆弱性対策用の Filter がリリースされました。
- 37290: SMB: Microsoft Windows SMBv3 Client/Server Buffer Overflow Vulnerability
- デフォルト設定:Disable
本 Filter は、TippingPoint をお使いの上、DV #9394 に定義ファイルの更新が完了している環境であれば、有効状態に変更を行うことによりご利用頂く事が可能です。
SMS をご利用の場合の利用方法は以下となります。
- SMS Client にて SMS にログイン
- 画面上部メニュー「Profiles」をクリック
- 画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」⇒「Search」をクリック
- 画面右部「Filter Name」に「37290」と入力を行い、右側「Search」をクリック
- 画面下部「Search Results」に表示された Filter をクリック後、右下「Edit」をクリック
- 新しいウィンドウ「Action」内の「Use Filter Specific Settings」を選択
- 「State」の「Enabled」にチェックを入れる
- 「Action Set」で任意の動作※を選択後、右下「OK」をクリック
- Block + Notify:該当通信遮断 + 検知通知
- Permit + Notify:該当通信通過 + 検知通知
- Block:該当通信遮断
- Permit:該当通信通過
- 画面左部メニュー「Profiles」⇒「Inspection Profiles」⇒「(現在使用しているProfile)」をクリック
- 画面右部「Distribute」をクリックし、適用を行いたいセグメントを選択し、「OK」をクリック
- 新しいウィンドウにて、100%(Complete)になれば適用完了
※Filter 設定変更による業務通信影響を気にされる場合は、最初は「Permit + Notify」にて設定を行い、業務通信に影響が無い事が確認出来た後、「Block + Notify」に変更を行うことをおすすめいたします。