昨日、Badlockがついに明らかになり、一見したところでは誇大広告だったことで、情報セキュリティ業界全体とも思える範囲でずっこけた。

https://sadlock.org/
Badlock… or Sadlock?

 公開までの1か月間の構築作業と派手なロゴは不要だったという点には同意するが、この脆弱性によって悪意のある人物に有用な兵器が将来的に提供される、と我々が考える理由を説明したい。

 今回の脆弱性を悪用するためには、兵器級の中間者攻撃を作り上げてから、一連のネットワーク化された、パッチが当てられていないSMB(Server Message Block)を実装したホストに展開する必要がある。業界で共有した期待を裏切られた感覚は、この事実によるものだ。こうしたシナリオをあなたが目にするのは、ほぼ企業の内部ネットワークにおいてのみだろう。しかし、この脆弱性に対する適切な中間者攻撃によって、攻撃者は権限を引き上げ、Active Directoryのデータベースへフルにアクセスできるようになる。これはつまり、ログイン情報とパスワードのハッシュをすべて攻撃者に提供することを意味する。Badlockの公式サイトでは、次のように述べられている。

 「Sambaで使用されている各種プロトコルで実行され得る中間者攻撃が複数ある。これにより、インターセプトしたユーザのコンテキストを用いて、任意のSambaネットワークコールの実行が許可される」

 もしこの脆弱性がSambaのActive Directoryサーバで使われたら、攻撃者はActive Directoryのデータベース内の、ユーザパスワードのハッシュを含む機密情報を閲覧、変更できるようになる可能性がある。また当該サーバ上で実行中の重要なサービスも停止し得る。もしこの脆弱性が標準的なSambaサーバで使われたら、攻撃者はファイルやディレクトリに対するユーザのパーミッションを変更できるようになる可能性がある。

 この脆弱性はWindowsとLinuxの双方に影響を及ぼす。この問題を解決するためのパッチは既に提供されているものの、企業全体できちんとこのパッチが適用されているかは管理者によるところだ。マイクロソフト社自身の「Patch Tuesday(定例パッチ)」のプロセスでこの問題は解決され、大半のWindows機は速やかに最新の状態になると、我々は予期している。一方Linux機については未知数である。

 より大局的な観点で見ると、高度な脅威をもたらす人物がひとたび企業の内部ネットワークへのアクセスを得た場合には、Badlockの脆弱性によってこうした人物に有用なツールが提供される可能性がある。国家のような、組織化されて豊富な資源のある集団にとっては、Badlockを悪用して、これに適した中間者攻撃を作成・展開することはそれほど難しいことではない。

 今回の脆弱性についての概念実証は現在のところは表沙汰になっていないが、世の中にはエクスプロイトの作成に励んでいる集団がいると、我々は確信している。現時点ではこのような類の戦略が使われているのを確認していないが(Badlockを取り巻く噂では)、そのうち利用されているのを目にしても驚きはないだろう。