Windows DNSの脆弱性を紐解く(2021年7月版)
7月16日に日本のドメインを管理するJPRSがWindows DNSの脆弱性の情報を公開しました。
脆弱性そのものは別の人が発見してMicrosoftに報告済みでしたが、改めてJPRSが情報公開しています。
https://jprs.jp/tech/security/2021-07-16-windowsdns.html
Windows DNSの脆弱性は何度も発見されてはMicrosoftが修正パッチを公開する、を繰り返していますが、今回の脆弱性に関するアップデートパッチは既に公開済みです。
要はWindows Updateをかければ不具合は解消して万々歳なわけですが、中には”そんな気軽にWindows Updateできねえよ”という叫びをお持ちの社内SEさんもいらっしゃるでしょう。
そこで、公開された脆弱性がどんなものなのか解説し、それを踏まえて今後の行動を検討してみましょう。
その前に一般的な話
早速、どんな脆弱性なのか見ていきたいところですが、先に一般的な話をします。
まず大前提として”社内のユーザーが使うイントラネット用DNSサーバ”と”インターネットに公開されWEBサイトやメールサービスのために使うDNSサーバ”とではセキュリティリスクは全く違います。
世の中はクラウドコンピューティングだのゼロトラストセキュリティだの境界型防御の時代は終わりだの言われていますが、私はそうは思っていません。
これらはリモートワークの普及や出張先でも社内手続きをできるようにする、というように会社のPCがイントラの外で使われるから注目されている技術です。
そもそもサーバ室やどっかのデータセンターに置いてあってイントラから一切出ないサーバに対して”境界型防御は無駄”だの言われても、それは違うと考えます。
では社内DNSサーバとネット公開DNSサーバのセキュリティリスクはどちらが高いのかというと、当然ながら公開DNSサーバです。
そして私の考えではありますが、パッチが公開されたときに適用するかしないかについて
- 社内DNSサーバの場合、パッチ適用は脆弱性の内容や影響次第で適用しない選択肢もある
- ネット公開DNSサーバの場合、原則的にパッチ適用する
としています。また、本記事の結論も上記に帰結します(公開DNSサーバはさっさとパッチ適用の計画を立てましょう)。
どんな脆弱性?
それでは本題に戻って、この度まとめられている脆弱性を紐解いていきましょう。
CVE | 概要 | CVSSスコア |
---|---|---|
CVE-2021-33745 | DoS(サービス妨害)の脆弱性 | 6.5 |
CVE-2021-33746 | リモートでコードが実行される脆弱性 | 8.0 |
CVE-2021-33749 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-33750 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-33752 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-33754 | リモートでコードが実行される脆弱性 | 8.0 |
CVE-2021-33756 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-33780 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-34442 | DoS(サービス妨害)の脆弱性 | 7.5 |
CVE-2021-34444 | DoS(サービス妨害)の脆弱性 | 6.5 |
CVE-2021-34494 | リモートでコードが実行される脆弱性 | 8.8 |
CVE-2021-34499 | DoS(サービス妨害)の脆弱性 | 6.5 |
CVE-2021-34525 | リモートでコードが実行される脆弱性 | 8.8 |
色々並んでいますが、脆弱性の深刻度を示すCVSS(値が大きいほど悪用されやすく影響が大きい脆弱性。10が最大値)が総じて高めです。
理由としては今回の脆弱性はすべて遠隔からの悪用が可能でインターネットに公開されているDNSサーバなら世界中のどこからでも悪用可能なためです。
あなたの会社の公開DNSサーバに脆弱性があるかどうか、なんてすぐに分かりますので隠れることはできません。
おまけに”リモートでコードが実行される”ので、ある意味DNSサーバを好き放題されてしまうということになります。
ファイアウォールなどで日本国内からのアクセスに限定する、みたいな別の防御があればまだマシですが、DNSサーバという性質上はそんな制限はないサーバもあるでしょう。
パッチ適用するかしないか
これほどの脆弱性であれば適用するのがほぼ原則です。社内DNSサーバであればまだ一考の余地ありかもしれませんが、公開DNSサーバなら適用しましょう。
お宅のDNSサーバを悪用されて社会に迷惑をかけてしまわないように。
いつやるか?
パッチ適用ということでWindows ServerのWindows Updateをかけることになりますが、ほぼ間違いなく再起動がかかります。
Windows Serverをクラスタ構成にしている会社さんはさっさと平日にでもアップデートしましょう。クラスタの不具合が怖いというときは1台目を休日にやって2台目以降を平日でもいいかもしれません。
クラスタ構成にしてない、とかDNS以外のサーバ機能が動いていて影響評価の時間が欲しい、という会社さんは休日にやりましょう。
実施前にどれぐらいの影響が出て何時間ぐらい停止するのかは事前に社内アナウンスしてくださいね。
あとは何かあった時のためにサーババックアップの保存状況とリストアできるようになっているかも確認してください。
まとめ
正直、この手の話は社内SE的にはめんどくさいです。
パッチ適用しないと悪用されるかもしれないし、適用すれば社内システムが動くか不安だし、適用したところでユーザーから喜ばれることはありません。
ですが、セキュリティ不足が社会問題化してしまった現代ではインターネットという公共基盤を使うからには悪用されないようにする責務があると思います。