Microsoftはこのほど、「Guidance for handling “regreSSHion” (CVE-2024-6387) using Microsoft Security capabilities - Microsoft Community Hub」において、Microsoft Defenderを活用して、OpenSSHの重要な脆弱性「CVE-2024-6387」などのサードパーティーソフトウェアがもたらす脅威からシステムを保護する方法を解説した。
-
Guidance for handling “regreSSHion” (CVE-2024-6387) using Microsoft Security capabilities - Microsoft Community Hub
脆弱なデバイスの検索
Microsoft Defenderポータルを利用できるユーザーは、高度な検索から「Kustoクエリ言語(KQL)」を使用して既知のセキュリティ脆弱性の影響を受けるデバイスを検索することができる。
CVE-2024-6387の影響を受けるデバイスを検索するKQLクエリは次のとおり。
-
CVE-2024-6387の影響を受けるデバイスを検索するKQLクエリの例 引用:Microsoft
脆弱性の影響範囲の検索
Microsoft Defender for Cloud(MDC)の「攻撃パス分析」ツールを利用すると、脆弱性の影響により攻撃者がアクセスする可能性のあるデバイスのパスを検索することができる。これは攻撃者の横方向の移動範囲と手順を示しており、防衛策の優先順位付けと対策方法の検討に活用することができる。
-
CVE-2024-6387の影響を受けるデバイスパスの例 引用:Microsoft
その他の脅威ハンティング
そのほか、MicrosoftはMicrosoft Defender for CloudのCloud Security Explorer機能によるクラウド全体への影響分析や、組織全体の攻撃経路の分析手法について解説している。また、脆弱性のリスク軽減策とし以下の推奨事項を提案している。
- すべてのソフトウェアを定期的にアップデートする。Defender Vulnerability Managementを使用して修正パッチのコンプライアンスを監視する
- Defender Vulnerability Managementのアプリケーションブロッキング機能を使用して、脆弱なソフトウェアや悪意のあるソフトウェアの実行を防止する
- マルチクラウド環境全体で影響を受けるVMとコンテナを修復する(参考:「Enable vulnerability scanning with Microsoft Defender Vulnerability Management - Microsoft Defender for Cloud | Microsoft Learn」)
- 攻撃パス分析を使用して環境を監視する(参考:「Microsoft Security Exposure Management Graph: unveiling the power - Microsoft Community Hub」)
- コンピュータ上のSSHポートを適切に閉じているか、またはジャストインタイムアクセス制御による保護が実施されているか確認する(参考:「Enable just-in-time access on VMs - Microsoft Defender for Cloud | Microsoft Learn」)
- ネットワークをセグメント化する
- 高度なハンティングクエリを使用して環境を継続監視する
Microsoftが提案するこれらセキュリティ対策は、企業システムを保護する包括的なアプローチを提供する。企業や組織には同様の対策が推奨されるのと同時に、強力なセキュリティ維持のために継続的な監視、アップデート、新しい脅威の情報収集の実施が望まれている。
