Windows Management Instrumentation (WMI)について
Windows Management Instrumentation (WMI)とは
WMIは、OSやコンピュータの設定・状態を参照したり変更したりするための仕組みのこと。Windows95とかでも稼働していた。
ローカルだけでなくリモートも管理できるため、複数のサーバーを管理するためにスクリプトを書いたり、WMIを利用したサーバー管理ツールが多々ある。
便利な反面、セキュリティ面での考慮が必要になる。
MTIRE ATT&CKのTechniqueの一つに挙げられて、Procedure Examplesでは88の攻撃事例が紹介されている。4つの対策が挙げられている。
ファイルレスマルウェアの代名詞として、PowerShellとWMIの名が挙げられることも。
CVE-2021-26414
CVE-2021-26414はDCOMのセキュリティをバイパスする脆弱性。WMIのリモート接続でDCOMを使用するので影響を受けることになる。
詳細については、CVEにある以下のリンクで、具体的に説明されている。
認証がスルーされて、Kerberosチケットが発行されるらしい。
マイクロソフトは、以下の3段階での対応を発表。
|
2021 年 6 月 8 日 |
セキュリティ強化の変更は既定では無効になっていますが、レジストリ キーを使用して有効にできます。 |
|
2022 年 6 月 14 日 |
セキュリティ強化の変更は既定で有効になっていますが、レジストリ キーを使用して無効にすることができます。 |
|
2023 年 3 月 14 日 |
既定で有効になっている変更のセキュリティを強化し、無効にする機能はありません。 この時点で、環境内のセキュリティ強化の変更とアプリケーションに関する互換性の問題を解決する必要があります。 |
KB5004442 - Windows DCOM Server セキュリティ機能バイパスの変更を管理する (CVE-2021-26414) (microsoft.com)
Windows製品同士であれば、サーバーとクライアントでアップデートをすれば、問題なく接続できる。しかし、Windows以外のサーバーから、WMIを使用すると、接続できなくなる場合がある。
Windows側には、以下のログが出力される。
|
イベント ID |
メッセージ |
|---|---|
|
10036 |
"サーバー側の認証レベル ポリシーでは、ユーザー %1\%2 SID (%3) がアドレス %4 から DCOM サーバーをアクティブ化することはできません。 少なくともクライアント アプリケーションでライセンス認証レベルをRPC_C_AUTHN_LEVEL_PKT_INTEGRITYに上げてください。 (%1 – ドメイン、%2 – ユーザー名、%3 – ユーザー SID、%4 – クライアント IP アドレス) |
2023年3月14日までは、レジストリを変更することで回避できるが、それ以降はOSの標準として、ライセンス認証レベルがRPC_C_AUTHN_LEVEL_PKT_INTEGRITYになる。
そのレベルに対応していないクライアントからのRMI接続はできなくなる。
認証レベルについて、以下に記載がある。
実は、CVE-2021-26414の影響を軽視していて、Windows Updateをしたら、オープンソースのLinuxベースの監視ツールが機能しなくなり、慌ててしまった状況です。
セキュリティ診断ツールなどで、DCOMを使っている場合にも影響があると思われる。
Windowsのリモート管理には、WinRM (Windows Remote Management)と呼ばれるHTTP・HTTPSベースのものもあるようです。
今後とも注視していく必要がありそうです。
