エクスプロイト&脆弱性
2021年4月のセキュリティアップデートレビュー解説
今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
今月第2火曜日となった2021年4月13日は、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。特に、MicrosoftのWin32k の特権昇格の脆弱性「CVE-2021-28310」はゼロデイ時点での悪用発生の事実をMicrosoftが確認しています。法人組織の管理者の方は、確実に修正プログラムの適用を行ってください。
■Adobe社による2021年4月のセキュリティパッチ
4月にAdobe社は、「Adobe Photoshop」、「Digital Editions」、「RoboHelp」、「Bridge」に確認された10件の脆弱性に対処する4つのセキュリティパッチをリリースしました。Bridgeのアップデートでは、6つの脆弱性について修正されました。これらはすべてトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。このうち4つは深刻度「Critical(緊急)」に分類されており、悪用された場合、攻撃者によって任意のコードが実行される可能性があります。Photoshop用のパッチでは、「緊急」に分類される2つの脆弱性が修正されています。これらはバッファオーバーフローの脆弱性で、いずれも任意のコードを実行される可能性があります。Digital Editionsのアップデートでは、「緊急」に該当する特権昇格の脆弱性が修正されており、悪用された場合任意のファイルシステムへの書き込みが可能になります。最後に、RoboHelpのパッチでは、特権昇格の脆弱性が1つ修正されています。Adobe社が対処した脆弱性はいずれも公開時点で一般に公開されているもの、あるいは悪用の事実を確認されているものではありません。
■Microsoftによる2021年4月のセキュリティ更新プログラム
4月Microsoft社は、「Microsoft Windows」、「Edge(Chromium版)」、「Azure」および「Azure DevOps Server」、「Microsoft Office」、「SharePoint Server」、「Hyper-V」、「Team Foundation Server」、「Visual Studio」、そして「Exchange Server」を対象とする114件の脆弱性に対処するためのパッチをリリースしました。これは今年に入ってMicrosoft社が1カ月の間に対応した脆弱性の数としては最多で、昨年の4月よりも多くなっています。これらの脆弱性のうち、合計5つがZDI programを通じて確認されたものです。なお、今月対処された脆弱性のうち最近開催されたハッキングコンテスト「Pwn2Own」で公開されたものはありません。114件の脆弱性のうち、19件が「緊急」、88件が「Important(重要)」、1件が「Moderate (警告)」レベルの深刻度と評価されています。さらにEdge(Chromium版)に影響を与える6つの脆弱性については、最近のアップデートで対処済みとなっています。
Microsoft社によると、1つの脆弱性は現在攻撃での悪用が確認されており、他の4つの脆弱性はリリース時にすでに一般に公開されています。
今月のアップデートで特に注目すべき脆弱性の中でも、悪用の事実を確認されていると報告されるものから詳しく見ていきましょう。
- CVE-2021-28310 - Win32k の特権昇格の脆弱性
この脆弱性は、現在悪用が確認されている脆弱性の中で4月にパッチが適用された唯一の脆弱性です。この脆弱性は、攻撃者が細工したプログラムを標的コンピュータ上で実行することで、特権を昇格させることが可能になります。これは、条件として攻撃者はシステムにログオンするか、正規ユーザを騙し攻撃者に代わってコードを実行させる必要があります。カスペルスキーのリサーチャーの報告から、おそらくマルウェアに利用されていると推察されます。このタイプの脆弱性は通常、ブラウザやPDFの脆弱性など他の脆弱性と組み合わせ、システムを乗っ取るために使用されます。
- CVE-2021-28480/28481 - Microsoft Exchange Server のリモートコード実行の脆弱性
どちらの脆弱性も 共通脆弱性評価システム(CVSS )で 9.8 に分類されており、内容も同一です。どちらのコード実行の脆弱性も認証およびユーザの操作を必要としません。攻撃経路が「ネットワーク」と記載されていることから、これらの脆弱性は少なくともExchangeサーバ間ではワーム活動が可能であると考えられます。この2つの脆弱性のCVSSスコアは、今年になって悪用が確認されているExchangeの脆弱性よりも高くなっています。これら2つの脆弱性は、米国国家安全保障局(National Security Agency)によって報告されています。また、これらの脆弱性がMicrosoftによる悪用可能性指標の最高評価を付与されていることを考慮すると、ゆくゆくは悪用される脆弱性であると考えられます。できるだけ早くシステムをアップデートしてください。
- CVE-2021-28329 他 - リモートプロシージャコールランタイムにおけるリモートコード実行の脆弱性
今月のリリースには、この名称の脆弱性が27件含まれており、説明とCVSSスコアはすべて同じです。しかし、深刻度が「緊急」に分類されているものは12件、「重要」とされているのは15件です。これまでに確認されたリモートプロシージャコール(RPC)の脆弱性では、特別に細工したRPCリクエストを、攻撃者が対象システムに送信する必要があります。悪用に成功すると、別のユーザのコンテキストでコードが実行されます。「重要」評価の脆弱性では、「緊急」評価の脆弱性に比べユーザの権限が低い可能性がありますが、記述からはわかりません。いずれにしても、これらの脆弱性を報告したリサーチャーは、相当な数の攻撃対象を発見したことになります。
- CVE-2021-28444 - Windows Hyper-V セキュリティ機能バイパスの脆弱性
このセキュリティ機能のバイパスにより、攻撃者は Hyper-V の 「Router Guard」 設定を迂回できる可能性があります。Router Guardは、ゲストOSがネットワーク上でルータサービスを提供することがないよう設計されています。Windowsをルータとして設定し、物理システムや仮想システム上でパケットを不正な場所に再ルーティングしたり(例:「Man-In-The-Middle(中間者)攻撃」)、単にトラフィックをブラックホールルーティングしたりできることは、あまり知られていません。Hyper-Vを使用している場合は、設定が間違っているだけであっても混乱を生じさせる可能性がありますので、必ずパッチを適用してください。
Microsoft社による2021年4月の更新プログラムで対処している脆弱性一覧はこちらから確認してください。なお、すでに対処済みとなっているEdge(Chromium版)の6つの脆弱性は含まれていません。
他の「緊急」レベルのパッチには、報告済みの脆弱性同様に深刻な、Exchange用の2つの追加パッチがあります。今月は、Office 365の各バージョンが影響を受けるExchangeの脆弱性はありません。これまでの脆弱性と同様に、これらの脆弱性はオンプレミスのインストールにのみ影響します。また、Microsoft社は、セキュリティ更新プログラムに関する追加情報を提供しています。Exchangeを利用している方は、ぜひご一読ください。
Azure Sphereに影響を与える脆弱性がありますが、特にアクションは必要ないでしょう。Azure Sphereを実行しているデバイスはインターネットに接続されていれば、自動で更新プログラムが適用されるからです。デバイスが接続されていない場合は、これらのアップデートが適用されていることを確認する必要があります。最後の2つの「緊急」レベルのパッチは、Windows Media Video Decoderコンポーネントの脆弱性を修正するものです。これらについては、対象システム上で、ログオンしているユーザレベルで攻撃者が任意のコード実行を行うためには、特別に細工されたメディアを開くようにユーザを誘導する必要があります。
今月リリースされている他の脆弱性を見ると、半分以上がリモートコード実行(RCE)の脆弱性に関連していることがわかります。これらの脆弱性は、上記の他、主にOfficeやWindowsのコンポーネントに影響を与えます。中でも特に目を引くのは、Outlookのメモリ破損の脆弱性で、ユーザの操作が必要であるとはいえ、コード実行につながる恐れがあります。また、Visual Studio向けにもいくつかのパッチが公開されています。これらの脆弱性についても、何らかの形でユーザの操作が必要となります。Visual Studio Code GitHub Pull Requests and Issues Extension向けに1つのパッチが公開されていますが、攻撃者がこの脆弱性をどのように利用するのかは不明です。また、Visual Studio Code Kubernetes Toolsの脆弱性についても同様です。最後に注意すべきリモートコード実行の脆弱性は、GDI+コンポーネントに影響を与えるものです。これらはやや不可解です。RCEと記載されているにもかかわらず、攻撃経路は「ローカル」と記載されており、ユーザの操作は必要ありません。画像を閲覧したり開いたりする以外の方法でこのバグが引き起こされることを示している可能性が推測されますが、詳細については記載されていません。
特権昇格の脆弱性は19件あり、中には一般に知られている2つの脆弱性が含まれています。1つはAzure ms-rest-nodeauthライブラリに、もう1つはRPC Endpoint Mapper Serviceに存在しています。また、Hyper-Vにも特権昇格の問題がありますが、攻撃者がどこからどこまで昇格するのかは明らかにされていません。これらの脆弱性の大半は、悪用するためには攻撃者が対象システムにログオンし、自身でコードを実行する必要があります。前述のとおり、これらの脆弱性は通常、システムを乗っ取るために別のコード実行の脆弱性と組み合わせて利用されます。
また、今月のリリースでは、一般に知られている「警告」レベルのNTFSのサービス拒否(DoS)の脆弱性 を含む、9つのDoSの脆弱性に対処するパッチが含まれています。もう一つのDoSの脆弱性は、TCP/IPドライバに影響を与えるものです。攻撃者は、特別に細工したパケットを対象システムに送信することでDoSを引き起こすことができるようですが、ブルースクリーンになるのか、システムが応答しなくなるのかは明らかにされていません。この他にも、SharePoint、AppX Deployment server、Hyper-V、その他のWindowsコンポーネントにもDoSの脆弱性が存在します。
今月最後に公表された脆弱性は、Windows インストーラの情報漏えいの脆弱性です。この脆弱性が悪用されると、攻撃者によるファイルシステムへの不正アクセスが可能になるおそれがあります。今月パッチが適用された情報漏えいの脆弱性は全部で17件あり、そのほとんどが不特定のメモリ内容の漏えいにつながるものです。例外は、Azure DevOps Serverに影響する脆弱性です。この脆弱性が悪用されると、パイプラインの構成変数やシークレットが漏えいする可能性があります。また、Excelの情報漏えいの脆弱性に対処するパッチもリリースされています。脆弱性を利用するには、特別に細工したファイルをユーザにExcelで開かせる必要がありますが、「機密情報」として何が漏えいするのかは明らかになっていません。
セキュリティ機能のバイパスについては、Windows Early Launch Antimalware(通称ELAM)Driverに対し2つのパッチが提供されています。いずれの脆弱性も、どのようなセキュリティ機能がバイパスされるかは明らかにされていません。その他のバイパスの脆弱性は、Azure AD Web Sign-inと Windows WLAN AutoConfig Service に影響を与えます。これらの脆弱性についても、攻撃者によって何がバイパスされる可能性があるのかについては記載されていません。
今月のリリースは、2つのなりすましの脆弱性に対処するパッチで最後となっています。1つ目は、Azure DevOps ServerとTeam Foundation Servicesに影響するもの、もう1つは、Windows インストーラに影響を与えるものです。これらの脆弱性は、どちらも詳説されていませんが、CVSSスコアは6を超えているため、無視することはできません。
最後に、Servicing Stackに関するアドバイザリ(ADV990001)が、複数のバージョンWindows向けに改訂されました。その他、今月は追加のアドバイザリはリリースされていません。
参考記事:
• 「THE APRIL 2021 SECURITY UPDATE REVIEW」
By: Dustin Childs
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)