Windows BadTunnel
1160812 08:21:20
Black Hat USA 2016
Black Hat USA 2016
https://www.blackhat.com/us-16/
BadTunnel: How Do I Get Big Brother Power? - Black Hat USA 2016 | Briefings Schedule
https://www.blackhat.com/us-16/briefings/schedule/#badtunnel-how-do-i-get-big-brother-power-3915
で公表されたWindows BadTunnel
WPADの名前解決でのNBNSに関する件の
小規模システム/一般ユーザー向けの説明です。
一般ユーザーとは以下のような環境です。
- メインのルーターからWAN(外のネット)に繋がっている。
- ルーターでソフトウェア ファイアウォールを設定している。
- そのルーターに複数のWindows PCが繋がっている。
- 各PCにはソフトウェア ファイアウォール(Windowsファイアウォールなど)が入っている。
- Windows の共有機能を使っている。
資料 2016/08 Black Hatでの公開
ASCII.jp:95から10までの全Windowsに影響、「BadTunnel」脆弱性とは何か|Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート
http://ascii.jp/elem/000/001/207/1207646/
2016年08月08日 13時00分
ASCII.jp:東京都庁の通信内容がダダ漏れ危機?「badWPAD」脆弱性とは (1/2)|Black Hat USA 2016/DEF CON 24 ラスベガス現地レポート
http://ascii.jp/elem/000/001/209/1209568/
2016年08月10日 12時30分
> 今回発表されたbadWPAD脆弱性の脅威は、そのほかの一般企業、一般ユーザーにおいても無縁ではない。
> まず、Webアクセスにプロキシを使わないインターネット環境であれば、自動プロキシ設定機能を無効にするべきだ。
資料 2016/06 発表時
BadTunnel: すべての Windows ユーザーが影響を受ける脆弱性 ? Naked Security
https://nakedsecurity.sophos.com/ja/2016/06/16/badtunnel-a-vulnerability-all-windows-users-need-to-patch/
16 JUN 2016
Windows 'BadTunnel' Attack Hijacks Network Traffic
http://www.darkreading.com/vulnerabilities---threats/windows-badtunnel-attack-hijacks-network-traffic/d/d-id/1325875
6/15/2016 08:00 AM
(6/15時点での公表部分)
> Microsoft は火曜日にセキュリティ情報 MS16-077 でこの脆弱性の修正を公開しました。
> サポート対象外の Windows バージョン (Windows XP など) のユーザーは、
> NetBIOS over TCP/IP を無効にする必要があります。
> 現時点では脆弱性の詳細は明らかになっていませんが、
> ネットワーク全域で NetBIOS を偽装 (スプーフィング) して、
> ファイアウォールと NAT (Network Address Translation)
> デバイスを迂回する手法だとされています。
> つまり、ファイアウォールによって保護されなくなるため、
> ユーザーはネットワークとインターネットの間にあるポート 137 の UDP をブロックしない限り、
> ネットワークの外部にいる攻撃者に狙われる可能性があります。
SOPHOS INSIGHT|BadTunnel: すべての Windows ユーザーが影響を受ける脆弱性
http://sophos-insight.jp/blog/20160623
2016.06.23
対応方法/確認方法
ファイアウォールの設定
サポートが終了したOS(Windows XPなど)の場合、
ファイアウォールで内側から外(WAN)への137ポート通信をブロック。
メインのハードウェアルーターで同様に外(WAN)への137ポート通信をブロック。
NetBIOSを無効化
Windowsネットワーク共有サービスを使わない場合
自動プロキシ設定機能を無効にする
通常Webアクセスにプロキシは使いません。自動プロキシ設定機能を無効にします。
完全ではありませんが、Black Hatで公開された手法は防げます。
自動プロキシ設定機能 — 通常は自動設定になっている
自動プロキシ設定機能を無効にする
Windows Updateの確認
Windows Update
マイクロソフト セキュリティ情報 MS16-077 - 重要
https://technet.microsoft.com/ja-jp/library/security/ms16-077.aspx
WPAD 用のセキュリティ更新プログラム (3165191) 公開日:2016 年 6 月 15 日 | 最終更新日:2016 年 8 月 10 日
Windows Updateの履歴で確認します。
Windows7の場合は
MS16-077:WPAD 用のセキュリティ更新プログラム(2016 年 6 月 14 日)
https://support.microsoft.com/ja-jp/kb/3165191
から
KB3161949 となります。
> Windows 7 (すべてのエディション)
> このソフトウェアのセキュリティ更新プログラムの情報を次の表に示します。
> Windows6.1-KB3161949-x86.msu
> サポートされているすべてのエディションの Windows 7 (x64 ベース):
> Windows6.1-KB3161949-x64.msu
Windows update 履歴
通常は 2016/06/15-17頃に重要UpdateでUpdateされています。
しかしWindow10の自動Updateを回避したり、また、MSがUpdate重要/オプション扱いを
頻繁に変更している時期なので、確認が必要です。
もしUpdateされていない場合には手動でUpdateします。
マイクロソフト セキュリティ情報 MS16-077 - 重要
https://technet.microsoft.com/ja-jp/library/security/MS16-077
Q&A
Q:ある理由でXPを使っています。ブラウザーもメールもMS Office も使っていません。ファイルの共有はしています。対処しなくても安全でしょうか?
A:安全ではありません。File Explorer(Windowsのファイラー)自体にも機能があり、またIEのコンポーネント(ブラウザー)は常に有効です。
なので、XPで何かソフトを動かしている場合には、常に悪意のあるリンク(Windowsネットワーク共有パス)を開く可能性があります。