ESETが運営するセキュリティ情報ポータルのWeLiveSecurityは10月29日(米国時間)、「Over 100,000 machines remain vulnerable to SMBGhost exploitation|WeLiveSecurity」において、依然として10万台以上のWindowsマシンが「SMBGhost」と呼ばれる脆弱性の危険にさらされたままだと警告した。

SMBGhostは2020年3月にMicrosoftによって報告された、Windows 10およびWindows ServerのServer Message Block(SMB)に存在する脆弱性である。SMBGhostに関する詳細は、Microsoftによる次のセキュリティアップデートガイドにまとめられている。

SMBは主にWindowsを中心とした環境でLANを通じてファイル共有やプリンタ共有などを行う際に使われるプロトコル。SMBGhostを悪用されると、認証されていない攻撃者が特別に加工したパケットをSMBサーバに送ることによって、リモートから任意のコード実行される危険性がある。SMBGhostは影響範囲が大きく、またマルウェアを自身で拡散できる脆弱性に分類されているため、一刻も早くセキュリティパッチを適用するように警告されていた。

SANS ISC Infosec Forumsに投稿された調査結果では、依然として10万3000台超のマシンがこの脆弱性を放置したままインターネットからアクセスできる状態になっていることが明らかにされたという。これは、インターネット上で(SMBプロトコルで一般的に利用される)445番ポートを開放しているマシンのおよそ8%に当たる数とのこと。

  • Over 100、000 machines remain vulnerable to SMBGhost exploitation|WeLiveSecurity

    Over 100,000 machines remain vulnerable to SMBGhost exploitation | WeLiveSecurity

2020年3月にこの脆弱性が公表された当初に出回った攻撃コードは、ローカル特権の昇格のみが可能なものだった。しかし同6月には、リモートコードの実行が可能な概念実証コードが公開されており、現時点でSMBGhostを放置することは極めて危険な状態である。まだシステムにパッチを適用していない管理者やユーザーは、早急にパッチを適用することが推奨されている。