zscalerは5月14日(米国時間)、「Critical Vulnerability in Microsoft Windows Desktop|blog」において、2019年5月のWindowsアップデートには脆弱性「CVE-2019-0708」に対する修正が含まれていると指摘した。この脆弱性は危険性が高く、該当するプロダクトにはすぐにアップデートを適用すべきと呼びかけている。
さらに15日、30日、60日といったパッチ適用サイクルを定めている組織に関し、今回については例外を設け、可能な限り迅速にアップデートを適用することを検討すべとしている。
「CVE-2019-0708」は、リモートデスクトップサービスにおいて重大なリモートコードの実行を引き起こす恐れがある脆弱性。zscalerはCVE-2019-0708が、悪用するにあたって認証を必要しない点でリスクが高いことを強調している。この特徴を悪用されると、WannaCryのような別の攻撃が引き起こされる可能性があるという。CVE-2019-0708に関しては次のページに情報がまとまっている。
この脆弱性の影響を受けるとされるオペレーティングシステムは次のとおり。
- Windows XP
- Windows 2003
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
Windows 8とWindows 10は脆弱性の影響を受けないとされている。2019年5月のWindowsアップデートに関してはUnited States Computer Emergency Readiness Team (US-CERT)も「Microsoft Releases May 2019 Security Updates」においてアップデートの適用を推奨している。
このセキュリティ脆弱性は影響範囲が広く、さらにその内容が深刻であることから、Microsoftは「Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019」において、すでにサポートが終了しているオペレーティングシステムに対してもセキュリティパッチの提供を実施している。該当するプロダクトを使用している場合は、迅速にアップデートを適用することが望まれる。