エクスプロイト&脆弱性
2022年6月のセキュリティアップデート解説:ゼロデイ脆弱性「Follina」含む計106件の脆弱性に対処
2022年6月14日火曜日にAdobe社およびMicrosoft社からの最新のセキュリティアップデートが報告されています。本稿では、この2社が提供する最新のセキュリティアップデートをご紹介します。
2022年6月に報告されたAdobe社からのセキュリティアップデート
2022年6月、Adobe社からは、Adobe Illustrator、InDesign、InCopy、Bridge、Robohelp、Animateにおける合計46件のCVE採番済脆弱性(以下、CVE脆弱性)に対応した6つのセキュリティアップデートがリリースされました。これらのCVE脆弱性のうち、合計40件はZDIの脆弱性リサーチャーMat Powellによって報告されたものです。最も大きなセキュリティアップデートはIllustratorに対するもので合計17のCVE脆弱性に対応しています。これらのうち最も深刻なものは「影響を受けるシステムが特別に細工されたファイルを開くとコードが実行される可能性がある」という脆弱性であり、多くは「境界外書き込み(Out-Of-Bounds (OOB) Write)」のカテゴリに分類されます。Adobe Bridgeに対するアップデートでは、12件のCVE脆弱性が修正され、そのうち11個は「緊急」と分類されています。InCopy に対するアップデートでは「緊急」に分類された8件のCVE脆弱性が修正され、これらはすべて「任意のコードの実行につながる可能性がある」という脆弱性タイプに含まれます。同様にInDesign に対するアップデートでは7件が「緊急」に分類されており、 こちらも「任意のコード実行につながる可能がある」という脆弱性タイプとして修正されています。InDesignおよびInCopyの双方については、「境界外読み込み(OOB Read)」「境界外書き込み」「ヒープオーバーフロー」「メモリ解放後使用(Use-After-Free(UAF))」に関する脆弱性が混在しています。Animateへのアップデートで修正された唯一の脆弱性も「任意のコードの実行につながる可能性がある」という脆弱性タイプであり、「緊急」に分類される「OOB Write」に関するものでした。Robohelpへのセキュリティアップデートは「不適切な認証による中程度の評価の特権昇格」という脆弱性に対応するものでした。
2022年6月にAdobe社が対応した脆弱性は、いずれもセキュリティアップデートリリース時点で「周知されたもの」や「攻撃で悪用されているもの」は含まれていませんでした。Adobe社では、これらのセキュリティアップデートを優先度3に分類しています。
2022年6月に報告されたMicrosoft社からのセキュリティアップデート
2022年6月、Microsoft 社は、Microsoft WindowsおよびWindowsコンポーネントのCVE脆弱性に対応する55件の新しいセキュリティアップデートをリリースしました。製品別に分類すると、.NET 、 Visual Studio、Microsoft Office 、Office Components、Microsoft Edge (Chromium-based) 、Windows Hyper-V Server、Windows App Store、Azure OMI, Real Time Operating System, and Service Fabric Container、SharePoint Server、Windows Defender、Windows Lightweight Directory Access Protocol (LDAP) 、Windows PowershellにおけるCVE脆弱性55件への対応となります。これに加えて、Microsoft Edge(Chromiumベース)に適用された4件のCVE脆弱性のほか、MSDTへの新しいセキュリティアップデートも追加されていましたので、合計60件のCVE脆弱性への対応となりました。
これら55件のセキュリティアップデートのうち、3件が「緊急」、51件が「重要」、1件が「警告」の深刻度として格付けされています。今回適用された脆弱性に関しては、いずれもセキュリティアップデートリリース時点で「周知されていたもの」や「攻撃で悪用されているもの」は含まれていませんでした。また、攻撃に悪用されていると報告されたMSDTの脆弱性についても、既にセキュリティアップデートが適用されています。
今回、Print Spoolerに対するセキュリティアップデートが含まれていなかった点が注目されます。2021年に見つかった脆弱性「PrintNightmare」以来、Print Spoolerの脆弱性は後を絶たないように見えましたが、今後も修正が続くのかについては注視が必要です。また、ハッキングコンテスト「Pwn2Own Vancouver」ではWindows11やTeamsなど複数のマイクロソフト製品に対する攻撃が成功しましたが、それらに対する更新も今回のセキュリティアップデートには含まれませんでした。
今回のセキュリティアップデートの詳細を見ていく前に、2022年6月16日(日本時間)にサポートが終了するInternet Explorer(IE)についても少し述べたいと思います。知らない人はいないこの有名なブラウザは、1995年以来、ユーザに利用され続け、誰しも今回のサポート終了を寂しいことと感じるでしょう。それでもなお、セキュリティの観点からは賢明な判断といえます。IEに依存するレガシーアプリが機能するかについては、Microsoft EdgeのIEモードが少なくとも2029年までサポートされる予定のようです。
Microsoft社からのセキュリティアップデート:注目すべき脆弱性
それでは、懐かしさにふけるのはさておき、MSDTに対する待望のセキュリティアップデートを始め、いくつかの詳細に見ていきましょう。
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool(MSDT)のリモートコード実行の脆弱性:セキュリティアップデートガイドからは分かり難いですが、Microsoft社は、MSDTで話題の脆弱性「Follina」に対処する更新プログラムをリリースしています。この脆弱性は、既に活発な悪用が報告されているため、この更新プログラムのテストと適用を優先する必要があります。
CVE-2022-30136 – Windowsネットワークファイルシステムのリモートコード実行の脆弱性:「CVSS 9.8」に分類されるこの脆弱性は、2022年5月のセキュリティアップデートで適用されたNFSの脆弱性「CVE-2022-26937」に酷似しており、先週のZDIブログでも紹介しました。この脆弱性が悪用されると、リモートの攻撃者はNFS 実行により影響を受けるシステム上で特権コードを行使することが可能となります。双方の違いとしては、2022年6月のアップデートではNFSV4.1の脆弱性が修正され、5月のセキュリティアップデートでは、NSFV2.0とNSFV3.0のみが影響を受ける脆弱性の対応とされていた点です。今回の脆弱性は、それらの亜種に相当するものなのか、セキュリティアップデートの失敗によるものか、それとも全く新しい課題をはらむものであるかは今のところ不明です。いずれにせよ、NFSを実行している企業は、この更新プログラムのテストと導入を優先する必要があります。
CVE-2022-30163 – Windows Hyper-Vのリモートコード実行の脆弱性:この脆弱性は、Hyper-Vゲスト上のユーザが基盤となるHyper-VホストOS上でコードを実行することを可能にします。今回の更新では、攻撃者コードが実行される特権が列挙されていませんが、いわゆる「ゲストからホストへの脱出」は真剣に考慮されるべきでしょう。Microsoft社は、この脆弱性が悪用される場合、攻撃者は、競合状態を勝ち取る必要があるため、より複雑な攻撃を行使する必要がある点を指摘しています。しかし、競合状態を伴いながらも信頼性の高い脆弱性悪用ツールは既に多数実証されているため、今回の更新プログラムの速やかな適用は不可欠といえるでしょう。
CVE-2022-30148 – Windows Desired State Configuration(DSC)情報漏えいの脆弱性:情報漏えいに関連する脆弱性の多くは、不特定のメモリ内容の漏えいを引き起こしますが、今回の脆弱性はそれとは異なります。この脆弱性を悪用することで、攻撃者は、ログファイルから平文のパスワードやユーザ名を復元することが可能となります。DSCは、企業で使用される端末の設定を維持するためにシステム管理者に使用されることが多いため、復元可能なユーザ名とパスワードの組み合わせが使用されている可能性があるからです。この脆弱性は、攻撃者がネットワーク内で水平移動や内部活動を実行する際に最適な不具合ともなります。DSCの利用者は今回のアップデートを見逃さないよう注意が必要です。
Microsoft社からのセキュリティアップデート:その他のポイント
今回Microsoft社がセキュリティアップデートで対応した60件のCVE脆弱性を俯瞰すると、半分以上がリモートコード実行に関するものであることが分かります。このうち7件はLDAPの脆弱性を扱っており、2022年5月の10件のLDAP関連からは若干減少しています。このうち最も深刻なものは「CVSS 9.8」に分類された脆弱性であり、対処するためには、LDAPポリシー「MaxReceiveBuffer」をデフォルト値より高い値に設定する必要がありますが、この対応は一般的なシナリオとはいえません。ここ数カ月間のLDAP関連脆弱性の多さは、このコンポーネントに広範な攻撃対象が存在している可能性があることを示しています。攻撃対象の広さの点では、AV1およびHEVCのメディアコーデックにおけるコード実行の脆弱性も6件報告されています。これらのセキュリティアップデートは、インターネットに接続している場合は、Windowsストアから自動的にアップデートを取得できるはずです。ただし、これらのオプションコンポーネントをオフライン環境で使用している場合は、Microsoft Store for BusinessまたはMicrosoft Store for Educationのいずれかを通じて入手する必要があります。写真アプリのリモートコード実行に関する脆弱性に対しても同様の対応が必要です。
IoTアプリケーションのGUIを開発するためのデザインを提供するAzure RTOS GUIX Studioに存在するリモートコード実行の脆弱性3件に対応する更新プログラムもリリースされています。これらのアップデートをインストールした後にアプリケーション自体への更新が必要になるかどうかは不明です。Officeコンポーネントにもリモートコード実行の脆弱性が存在しており、興味深いSharePointの脆弱性も含まれていました。ただし脆弱性の悪用に際しては、ほとんどの場合、特別に細工されたファイルをユーザが開くことが必要なようです。SQL Server の脆弱性もかなり厄介なようですが、この場合は、脆弱性悪用には認証が必要なため、影響は少なくなるはずです。それでもセキュリティ管理者は、どのGDR(重要な更新プログラム)とCU(累積的更新プログラム)のアップデートが必要かを決定するため、上記の表を注意深く確認しておく必要があります。今回のリリースでは、iSCSI Discovery Service、Encrypting File System (EFS)、および File Historyコンポーネントに影響を与えるセキュリティアップデートも含まれていました。ただしこれらは、すべて何らかの認証が必要であり、iSCSIとファイル履歴の脆弱性を悪用する場合も、ユーザの介入が条件となっています。
特権昇格(EoP)の脆弱性に対応するものとしては12件のセキュリティアップデートがリリースされています。これらのほとんどは、攻撃者がシステムにログオンし、特別に作成されたコードを実行することを必要とします。その中でもいくつかの特徴的なセキュリティアップデートが散見されます。Azure Open Management Infrastructure (OMI)は、複数の異なるAzureおよびSCOMコンポーネントに影響を及ぼすアップデートです。この場合、セキュリティ管理者は、脆弱性が完全に対処されていることを確認するため、これらほとんどのコンポーネントに触れる必要があり、結果として作業負荷が増えることになります。また、Azure Service Fabricのセキュリティアップデートは、直接脆弱性を修正するものではなく、Linuxクラスタ上で最小特権の経路を強制するという対応になっています。Kerberosの脆弱性では、Credential Security Service Provider (CredSSP)とRemote Credential Guard (RCG)の両方がインストールされているサーバに影響を及ぼします。この場合、攻撃者は、CredSSPを介してRCG接続が行われたときに、特権を昇格させ、Kerberos ログオンプロセスを偽装することができます。ファイルサーバーシャドウコピーエージェントサービス(RVSS)に対するセキュリティアップデートは、ファイルサーバVSSエージェントサービスがインストールされているシステムのみに影響します。しかしこれらのシステムでは、セキュリティアップデートの適用だけでは十分ではなく、セキュリティ管理者は、アプリケーションサーバとファイルサーバの双方へ更新プログラムをインストールする必要があります。このインストールを実施しておかないと、バックアップの動作が失敗する可能性があります。詳細についてはこちらの記事をご参照ください。
DoS(Denial-of-Service)攻撃に関連する脆弱性も3件含まれていました。カーネルを狙うDoS攻撃はOSをクラッシュさせる可能性がありますが、これに関連するNATの脆弱性悪用に伴う被害の深刻度ははっきりしていません。いずれにしてもNATを完全に停止させる事態となれば、企業の場合は、壊滅的な損害に見舞われる可能性があります。したがってNATを使用している場合は、このセキュリティアップデートを「緊急」として扱う必要があります。なお、セキュリティ企業「Rapid7」は、Microsoftが当初安定性の高い脆弱性として分類していたWindows SMBの脆弱性への対応で貢献しています。この脆弱性は、2022年5月のアップデート時に修正され、今回更新プログラムとして公開されています。
Kerberos AppContainerで対応されたセキュリティ機能バイパスに関連する脆弱性は1件でした。この脆弱性が悪用されると、攻撃者は、ユーザのアクセス制御をチェックするKerberosサービスチケット機能をバイパスすることが可能となります。その他、Windows Autopilotデバイス管理コンポーネントで「なりすまし」に関する脆弱性にもセキュリティアップデートが適用されました。この脆弱性対応では、多くの注意点があるため、この管理ツールを使用している場合は、今回のセキュリティアップデートの詳細を確認の上、ご使用のシステムが影響を受けるかどうかを判断してください。
情報漏えい関連の脆弱性に対応するものとしては11件のセキュリティアップデートが含まれていました。前述のとおり、例外2件を除き、これらのほとんどは不特定多数のメモリ内容からのリークに関連したものです。このタイプの脆弱性でOfficeに関するものは、リソースID、SASトークン、ユーザプロパティなどのデバイス情報が漏えいする可能性があります。.NETとVisual Studioに存在する脆弱性の場合は、NuGet.orgからのAPIキー傍受に使用される可能性があります。
インテルプロセッサーMMIO stale dataに存在する情報漏えい関連の脆弱性への対応としては、4件のセキュリティアップデートがリリースされました。攻撃者は、これらの脆弱性を悪用することで、システム上の信頼関係の境界を越えた形で特権データを読み取ることが可能となります。Microsoft社は、これらの脆弱性について詳述した「Advisory ADV220002」を発表し、インテル社もこのクラスの脆弱性に関する詳細を発表しています。
次回のセキュリティアップデート
次回のセキュリティアップデートは2022年7月12日を予定しています。それまでは今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
2022年6月にMicrosoftが発表したCVEの全リストはこちらをご参照ください。
参考記事:
• 「THE JUNE 2022 SECURITY UPDATE REVIEW」
By: Dustin Childs
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)