[Windows] 共有フォルダーの脆弱性対応
PLURA
概要
Windows オペレーティングシステムでは、管理目的で以下のような共有フォルダーがデフォルトで設定されています:
C$ & D$: 各ドライブにアクセスするための管理目的。ADMIN$: Windows インストールフォルダーへのアクセスを目的とした管理フォルダー。IPC$: ネットワーク内のプロセスおよびアプリケーション間の通信や管理を目的とした特殊な共有フォルダー。
特に IPC$ 共有フォルダー は「Null セッション接続」として知られており、匿名ユーザーがネットワークアカウントや共有情報を閲覧したり、システムを悪用したりする脆弱性があります。適切なセキュリティ設定がされていない場合、攻撃者がこれを利用して不正アクセスや Windows ネットワークへの攻撃を行う可能性があります。
主な脆弱性
1. Null セッション脆弱性 (CVE-2002-1117)
- 脆弱バージョン: Windows NT 4.0 およびそれ以前のバージョン / NetBIOS プロトコルを使用するバージョン。
- 問題点: IPC$ 共有を通じて認証なしでシステムに接続可能。
- 攻撃者はユーザーアカウントを取得したり、レジストリに不正アクセスすることができます。
2. MITER ATT&CK: リモートサービス SMB/Windows 管理者共有 [T1021.002]
- 攻撃経路: IPC$ 共有を悪用してリモートコマンドの実行やネットワーク内での移動が可能。
- 脅威: IPC$ の脆弱性が存在する場合、悪意あるツールを使用してネットワーク情報を閲覧したり、システム間を移動しコマンドを実行することができます。
対応方法
1. 共有フォルダーを使用しない場合
管理共有フォルダー (C$, D$ など) を無効化
- 管理共有フォルダーを無効化して外部からのアクセスを遮断します。
場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
キー: AutoShareWks
値: REG_DWORD = 0
2. Null セッションを無効化 (IPC$)
- IPC$ 共有 (Null セッション接続) により匿名ユーザーがドメインアカウントやネットワーク共有名を閲覧する可能性があります。
- IPC$ 自体を削除することはできないため、Null セッション接続を無効化することで対応します。
設定方法:
- レジストリの場所:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA - 設定値:
restrictanonymousキーをREG_DWORD型で1に変更 (デフォルト値:0)。
3. 共有フォルダーを使用する場合の対応策
1. 最新のセキュリティ更新プログラムおよびパッチの適用
- オペレーティングシステムおよび関連サービスのセキュリティ更新プログラムを定期的に適用して脆弱性を解消します。
2. ファイアウォールの設定
- システムのファイアウォールを構成し、不正なアクセスを遮断します。
- SMB ポート (445) を遮断するか、許可された IP のみアクセス可能に設定します。
3. ユーザーおよび権限の管理
- ユーザーアカウントおよび権限を適切に管理して、不要なアクセスを制限します。
4. セキュリティソフトウェアの使用
- 悪意ある行動を検出および遮断するためのアンチウイルスおよびセキュリティソフトウェアをインストールし、維持します。