web-dev-qa-db-ja.com

ファイアウォールがCVE2017-0016を検出

私のファイアウォールは、SSLクライアント2サイトVPNを介して接続された3つの端末からのトラフィックをドロップしています。これは、「Microsoft Windows SMB CVE 2017-0016 Tree Connect Response denal ofサービスの脆弱性 "。

宛先はドメインコントローラーです。

カスペルスキーレスキューディスクを使用してオフラインスキャンを実行しましたが、そのうちの2つで何も見つかりませんでした。このアラートの原因は何ですか?

1
Ezeq

Kaspersky Rescue Diskはマルウェアに対するツールであり、リモートの外部攻撃に対するツールではありません。ほとんどの場合、ここでは役に立ちません。

このトラフィックがドロップされた最も可能性の高い理由は、意図的かどうかに関係なく、ホストでサービス拒否状態を引き起こす可能性のある方法でリクエストが作成されたことです。言い換えると、使用しているシステムがCVE 2017-0016( "Microsoft Windowsには、SMBトラフィックの処理にメモリ破損のバグが含まれているため、リモートの認証されていない攻撃者が脆弱なシステムでサービス拒否を引き起こします。」- https://www.kb.cert.org/vuls/id/867968 )、ドロップされたトラフィックが原因でクラッシュし、それが落とされた理由です。

考慮事項:

  1. 重要なセキュリティアップデートMS17-012を適用しましたか? ( https://technet.Microsoft.com/library/security/ms17-012

  2. SMBも必要ですか?そうでない場合は、このサービスを無効にします(ポート445を閉じます)。

これが誤検知であり、トラフィックが本物であり、DoSを誘発しない可能性もあります。これが疑われる場合は、トラフィックを調査し、それに応じてファイアウォールルールを調整してください。

1
skooog

コメントスペースが小さすぎるようですので、ここでコメントに答えてください。

1)環境はそれぞれ異なり、私や他の誰かは、あなたの状況をどの程度正確に調査すべきかわかりません。しかし、ログはあなたが必要とするすべてです、あなたは機械の仕事を邪魔する必要はありません。これらのDoSアラートの前後にこれらのホストに関連するすべてのログを確認することから始め(5分から開始して、ログエントリの数が管理できない場合は減らすことができます)、イベントのコンテキストを取得する可能性があります。たとえば、同じソースから送信された他の疑わしいトラフィックはありましたか。

2)ネットワークに接続されているデバイスは、ほとんどの場合、悪意のある脆弱性スキャンと外部攻撃に利用できます試行。悪意のある攻撃者が攻撃を試みた場合でも、感染する必要はありません。ただし、前述の脆弱性にパッチが適用されている限り、問題はありません。

説明したインフラストラクチャを正しく理解しているかどうかはわかりませんが、ドロップされたトラフィックが内部的なものである場合は、誤検知である可能性があります。または、インフラストラクチャ内の誰かがホストをDoSしようとしました(不可能ではありません)。

0
skooog