LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@tkmiii_GiGOOOin株式会社ギグー

エターナルブルーの深淵(前編)~「CVE-2017-0145」歴史的脆弱性について徹底解説~

Last updated at Posted at 2025-03-12

Yo,諸君!今回は、サイバーセキュリティ史に悪名を轟かせたCVE-2017-0145、通称「エターナルブルー」脆弱性について、徹底的に解説していくぜ!
この脆弱性がもたらした歴史的な影響から、技術的な深層、そして実演まで、闇に潜むやつらの手口を暴き、その対策を学ぶんだ!
中の人の環境と業務の都合で実演は後編に回すが
仕組み等を頭に入れて後編を見てくれたらうれしいぜ!

2017年で古いんじゃないか????
故きを温ねて新しきを知る!だぜ!!
(ちなみに2025年3月現在smbv1を利用しているIPは全世界で57万件日本では2万件)

CVE-2017-0145とは?:SMBv1の致命的な脆弱性

CVE-2017-0145は、WindowsのSMBv1(Server Message Block version 1)プロトコルに存在するリモートコード実行(RCE)の脆弱性だ。この脆弱性を悪用することで、攻撃者は標的のWindowsシステムに任意のコードを実行させることができちまったんだ。

SMBv1とは?

SMBv1は、Windowsネットワークにおけるファイル共有やプリンター共有などに使用されるプロトコルだ。
古いプロトコルであり、セキュリティ上の問題が多数存在した。

脆弱性の原因:バッファオーバーフロー

CVE-2017-0145は、SMBv1プロトコルの処理におけるバッファオーバーフローに起因する。
攻撃者は、不正なSMBパケットを送信することで、バッファオーバーフローを発生させ、任意のコードを実行する。

エターナルブルーの影響:WannaCryとNotPetya

CVE-2017-0145は、2017年のWannaCryランサムウェアやNotPetyaなどの大規模なサイバー攻撃で使用され、世界中に甚大な被害をもたらした。

WannaCryランサムウェア

エターナルブルー( 名前が中二心をくすぐられる )を悪用して感染を拡大し、標的のシステムを暗号化して身代金を要求した。
世界中の組織に甚大な被害をもたらし、社会的な混乱を引き起こした。

NotPetyaマルウェア

ウクライナを中心に甚大な被害をもたらし、世界中の企業にも影響を与えた。
単なるランサムウェアではなく、システム破壊を目的としたマルウェアである可能性が指摘された。

CVE-2017-0145の技術的深層:SMBv1の脆弱性解析

CVE-2017-0145の脆弱性は、SMBv1プロトコルの処理におけるバッファオーバーフローに起因する。

トランザクション処理の脆弱性

SMBv1のトランザクション処理において、パケットのサイズを適切に検証していないことが原因だ。
攻撃者は、大きなサイズのパケットを送信することで、バッファオーバーフローを発生させ、任意のコードを実行する。

プールオーバーフローの悪用

SMBv1のカーネルモードコンポーネントにおけるプールオーバーフロー脆弱性を悪用する。
特定のSMBリクエストを送信することでカーネルメモリの解放後使用(Use-After-Free)を誘発し、任意のコード実行に繋がる。

対策

Windowsアップデートの適用

Microsoftは、CVE-2017-0145を修正するセキュリティ更新プログラム(MS17-010)を公開した。
Windowsアップデートを適用することで、脆弱性を修正できる。

SMBv1の無効化

SMBv1は、セキュリティ上の問題が多数存在するため、無効化することが推奨される。
Windows PowerShellで以下のコマンドを実行することで、SMBv1を無効化できる。

powershell
Set-SmbServerConfiguration -EnableSMB1Protocol $false

ファイアウォールの設定

ファイアウォールでSMBポート(139/445)をブロックすることで、外部からの不正なアクセスを防ぐことができる。

ネットワーク分離

重要なシステムをネットワークから分離することで、被害の拡大を防ぐことができる。

侵入検知システム(IDS)/侵入防止システム(IPS)の導入

IDS/IPSを導入することで、不正なSMBパケットを検知し、攻撃をブロックできる。

セキュリティソフトの利用

セキュリティソフトを導入することで、マルウェアの感染を防ぐことができる。

まとめ:CVE-2017-0145の教訓を未来に活かす

CVE-2017-0145は、過去の大規模なサイバー攻撃で使用され、セキュリティの重要性を再認識させる事例となった歴史的な脆弱性なんだぜ!!!
この脆弱性が露呈させたSMBv1の脆弱性は、現代のシステムが抱えうる様々なリスクを象徴している。
この教訓を未来に活かして、より安全なデジタル社会を築いていくことが、私たちセキュリティ戦士に課せられた使命だ!!共に戦おう!!

バッファーオーバーフローとプールオーバーフローについて補足
この二つは名前が似てますが発生する場所が違います。
ざっくりとプログラム領域(バッファ)とカーネル領域(メモリプール)で発生する脆弱性と覚えておけば大丈夫です。いずれレベルアップした時に改めて学びましょう

あいさつ

こんにちは!株式会社ギグーのtkmiiiです
いきなりキャラ変わってすみません
マンネリ化がいやでキャラ変頑張りました。
後編ではWindows環境を用意してハッキングができたらと思います!
お楽しみに!!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?