エクスプロイト&脆弱性
2022年9月 セキュリティアップデート:Adobe社やMicrosoft社の他、Apple社からの対応情報を解説
2022年9月もPatch Tuesdayがリリースされ、Adobe社、Microsoft社、Apple社から多数の新しいセキュリティアップデートが公開されました。以下、これら最新のセキュリティアップデートについてご紹介します。
2022年9月もPatch Tuesdayがリリースされ、Adobe社、Microsoft社、Apple社から多数の新しいセキュリティアップデートが公開されました。以下、これら最新のセキュリティアップデートについてご紹介します。
Adobe社からのセキュリティアップデート
2022年9月、Adobe社は、Adobe Experience Manager、Bridge、InDesign、Photoshop、InCopy、Animate、Illustratorの63件の脆弱性に対処する7件の修正パッチを公開しました。これらの脆弱性のうち合計42件は、トレンドマイクロが運営する脆弱性発見コミュニティZDIのシニア脆弱性リサーチャーMat Powellによって報告されたものです。InDesignの脆弱性に対処するアップデートは、今月最大の修正パッチであり、「緊急」に分類された脆弱性8件および「重要」に分類された脆弱性10件が修正されました。これらのうち最も深刻なものは、影響を受けたシステム上で特別に細工されたファイルを開くとコードが実行される可能性がある脆弱性です。Photoshopへの修正パッチでは、10件の脆弱性が修正され、そのうち9件は「緊急」に分類されています。この脆弱性も、攻撃者がユーザに不正なファイルを開かせることができれば、コードが実行される可能性があります。InCopyへのセキュリティアップデートでも、同様のコード実行に関する脆弱性5件および情報漏えいに関する脆弱性2件が修正されています。Adobe Animateの場合は、「緊急」に分類されたコード実行関連の脆弱性2件に修正パッチが適用されていました。
Adobe Bridge へのセキュリティアップデートでは、「緊急」に分類される リモートコード実行関連の脆弱性が10件および「重要」に分類される情報漏えい関連の脆弱性2件が修正されました。Illustratorの脆弱性3件のうち1件も、リモートコード実行の可能性があるため、修正パッチ適用となりました。先述の脆弱性と同様、悪用される場合、ユーザは、影響を受けるソフトウェアのバージョンで不正なファイルを開く必要があります。最後に、Adobe Experience Managerへの修正パッチは「重要」に分類された主にクロスサイトスクリプティング(XSS)関連の脆弱性11件に対処しています。
今月Adobe社が修正した脆弱性は、いずれもリリース時点で周知されているものや、すでに攻撃で悪用されているものはありませんでした。同社は、これらのセキュリティアップデートを優先度3として分類しています。
Apple社からのセキュリティアップデート
Apple社は、iOS、iPadOS、macOS、Safariへのセキュリティアップデートを公開しました。また、watchOSおよびtvOSへのセキュリティアップデートも公開されましたが、これらの修正パッチの詳細については明らかにされていません。同社が修正パッチを適用した脆弱性のうち、2件がすでに悪用されていることが確認されました。1つは、不適切な境界チェックに起因するカーネルバグ(CVE-2022-32917)であり、iOS 15、iPadOS 15、macOS Big Sur、macOS Montereyに影響します(なお、興味深いことに、iOS 16のアドバイザリにも記載されていますが、このOSへの悪用は言及されていません)。もう1つは、macOS の Big Sur バージョンへのカーネルの境界外書き込み「Out-of-Bounds (OOB) Write 」関連の脆弱性 (CVE-2022-32894) であり、悪用による攻撃が確認されたものと見なされています。最後に、AppleはiOS 16のアドバイザリでは「まもなくさらなる脆弱性対応が追加される予定」と述べられています。また、他の脆弱性もこのバージョンのOSに影響を与える可能性があります。いずれにせよ、Apple社製デバイスへの速やかな更新が求められています。
Microsoft社からのセキュリティアップデート
2022年9月、Microsoft社は、以下の製品の脆弱性に対処する64件の新しい修正パッチを公開しました。
- Microsoft Windows、Windowsコンポーネント
- Azure、Azure Arc
- .NET、Visual Studio、.NET Framework
- Microsoft Edge(Chromiumベース)
- Office、Officeコンポーネント
- Windows Defender、Linux Kernel
その他、Microsoft Edge(Chromiumベース)に適用された脆弱性15件、Armプロセッサのサイドチャネル攻撃に関する修正パッチ1件も追加されました。これにより、今回対象となった脆弱性は、合計79件となり、そのうちの5件は、ZDIプログラムから提出されたものです。
2022年9月にリリースされたセキュリティアップデートの件数は、8月の約半分ですが、ここ数年間で9月にリリースされた件数と同じ傾向を示してはいます。何らかの理由で、最終四半期は、毎年、リリースされる修正パッチの件数は少なくなる傾向を示しているようです。この傾向が2022年の最終四半期も示されるか、今後も注視する必要がありそうです。
本日公開された64件の新しい脆弱性のうち、「緊急」に分類されたものが5件、「重要」が57件、「警告」および「注意」がそれぞれ1件ずつとなっています。これらの新しい脆弱性のうち1件は、リリース時点で周知されており、すでに脆弱性悪用による攻撃が確認されています。今月確認された主要な脆弱性は、以下のとおりとなります。
CVE-2022-37969 - Windows Common Log File System Driverに存在する特権昇格の脆弱性:共通ログファイルシステム (Common Log File System、CLFS) に存在するこの脆弱性が悪用されると、認証を得た攻撃者により、特権昇格を介したコード実行が可能になります。このタイプの脆弱性は、多くの場合ファイルの開封やリンクのクリックなどをユーザに促すなど、何らかの形のソーシャルエンジニアリングの手口により悪用が可能となります。その結果、特権を有するユーザによりコードが実行され、対象のシステムが乗っ取られることになります。通常、こうした脆弱性悪用がどの程度広がっているかについては、ほとんど情報が示されません。一方で、Microsoft社はこの脆弱性に関する4つの異なるセキュリティ機関の報告を認めており、標的型攻撃だけでは済まない被害が発生する可能性があります。
CVE-2022-34718 - Windows TCP/IP リモートコード実行の脆弱性:「緊急」に分類されたこの脆弱性は、リモート認証がなされていない攻撃者であれば、影響を受けるシステム上でユーザの操作なしに、特権昇格によるコード実行が可能となります。このため、正式に「ワーム機能が可能な」な脆弱性のカテゴリに分類されており、CVSS評価は9. 8となります。ただし、脆弱性悪用の影響は、IPv6が有効化されてIPSecが設定されたシステムに限定されます。これは一部の人にとっては朗報ですが、通常は(多くの人がそうであるように)IPv6を使用している場合、ほぼIPSecも実行しているはずです。その場合は、この脆弱性に対処するセキュリティアップデートを迅速にテストして導入する必要があります。
CVE-2022-34724 - Windows DNS サーバのサービス拒否の脆弱性:この脆弱性は、コード実行の可能性がないため、「重要」に分類されていますが、潜在的な影響を考慮すると「緊急」として扱う必要があります。この脆弱性が悪用されると、リモート認証されていない攻撃者でもDNS サーバ上でサービス拒否 (DoS) 攻撃を実行する可能性があります。この DoS 攻撃により、DNS サービスだけを停止させるのか、それともシステム全体を停止させるのかは、明らかではありません。DNSの停止は常に悪いことですが、特にクラウドには多くのリソースが存在しているため、それらのリソースへの道を示すDNSが失われると、多くの企業にとって致命的な事態になる危険性があります。
CVE-2022-3075 - Chromium: CVE-2022-3075 Mojo における不十分なデータ検証:この脆弱性への修正パッチは、すでに2022年9月2日にGoogle Chromeチームによってリリースされているため、ここでは「更新情報を見逃したユーザのため」という意味合いが強いといえます。この脆弱性は、影響を受けるChromiumベースのブラウザ(Edgeなど)上でコード実行を可能にし、現状、野放し状態で検出されています。また、2022年になってから検出された6番目のChrome関連の脆弱性悪用の情報でもあります.この傾向は、ほぼユビキタスなブラウザのプラットフォームが、攻撃者にとって格好のターゲットになっていることを示しています。したがって、Chromiumをベースとするすべてのシステムにアップデートを推奨します。
「緊急」に分類されたその他の更新プログラムを確認すると、Windows Internet Key Exchange (IKE) Protocol Extensionsに関連する脆弱性2件が悪用された場合ワーム活動が実行される可能性があることがわかりました。なお、どちらの脆弱性も、IPSec実行のシステムのみが影響を受けるようです。また、Dynamics 365(オンプレミス)には、悪用されると、認証されたユーザのSQLインジェクション攻撃でDynamics 365データベース内のdb_ownerとしてコマンドを実行できる可能性のある「緊急」の脆弱性が2件存在します。
その他のコード実行関連の脆弱性を確認してみると、今月対応の脆弱性の半分以上が、何らかの形でリモートコード実行を伴うものでした。中でも、SharePointに関する修正対応が目立ちます。これに関して、Microsoft社は、最近、SharePointの脆弱性がイランからアルバニア政府に対する攻撃に利用され、このためにアルバニアがイランとの国交を断絶する事態に至った経緯を詳述しています。これらの攻撃では、以前にZDIのブログでも紹介したSharePointの脆弱性が関係していました。今回確認されたSharePointの脆弱性は、認証などユーザのアクションが必要ですが、それ以外の部分では、以前ZDIで指摘した他のSharePointの脆弱性と酷似しているようです。また、OLE DB Provider for SQL ServerにはRCE関連の脆弱性が6件報告されていますが、これらの場合も、悪用に際してはユーザからのアクションが必要となります。この場合、悪用の条件として、影響を受けるシステムのユーザがOLEDB経由で不正なSQLサーバに接続する必要があります。そしてターゲットのサーバが不正なパケットを受信してコードが実行される可能性があります。ODBCドライバにも、RCE関連の脆弱性5件が報告されており、こちらも、悪用に際しては、ユーザからのアクションが必要とします。この場合、Accessで不正なMDBを開くと、Officeコンポーネントの他の開閉関連の脆弱性と同様、コードが実行されることになります。LDAPの脆弱性もユーザからのアクションが必要であるようですが、悪用に関する詳細は示されていません。
Enterprise App Managementコンポーネントの脆弱性もユーザからの認証が必要で、特筆すべき内容となっています。この場合、攻撃者は、脆弱性を利用して、任意の SYSTEM サービスをインストールし、SYSTEM 権限での活動が可能となります。この脆弱性は、初期侵入後、水平移動による対象のネットワーク上の内部活動のために悪用されるものと思われます。RPCの脆弱性も興味深い内容ですが、攻撃者は、対象となるローカルホストのIPアドレスを偽装する必要があるため、あまり実用的ではなさそうです。.NETのRCE関連の脆弱性は、ユーザからのアクションが必要なこと以外、詳しい情報は提示されていません。AV1ビデオ拡張およびRawイメージ拡張の脆弱性についてもセキュリティアップデートが提供されています。これらのセキュリティアップデートは、すべてMicrosoftストアを通じて自動的に配信されます。同ストアに接続されていない環境下の場合、アップデートを手動で適用する必要があります。
今月のリリースでは、前述のCLFSに関する修正パッチを含め、合計19件の特権昇格関連脆弱性への対応が含まれています。これらの多くは、影響を受けるシステム上で認証されたユーザが、特別に細工されたコードを実行するというユーザからのアクションが必要となります。Windows Defender for Macの脆弱性では、カーネル関連の脆弱性への修正パッチと同様、この条件が当てはまります。他方、この条件に当てはまらない、興味深い脆弱性もいくつか報告されています。その1つがCredential Roaming Serviceの脆弱性であり、この場合、攻撃者は、認証なしで端末のリモート対話型ログオン権を取得できる可能性があります。その他、Kerberosには、SYSTEMに接続できる脆弱性2件が報告されていますが、どちらも注意点が多いなどの条件があるため、悪用される可能性は低いと思われます。Azure Guest Configuration および Arc-Enabled サーバにおける特権昇格関連の脆弱性は、以下のいくつの理由から興味深いものといえます。この場合、脆弱性を悪用することで、Microsoft 社が提供するコードを独自のコードに置き換え、それを Guest Configuration デーモンのコンテキストでrootとして実行することができます。Azure Arc 対応のサーバの場合、これにより、GC Arc Service または Extension Service デーモンのコンテキストで実行される可能性があります。さらには、Microsoft 社が Linux カーネルの修正パッチを作成しているという事実も興味深いといえます。そして無論、常連の脆弱性プリントスプーラの修正パッチも含まれていなければ、月例の更新とはいえないでしょう。
9月のリリースでは、情報漏えいの脆弱性に対する修正パッチが6件含まれています。ほとんどの場合、これらの脆弱性は、悪用されると、不特定多数のメモリコンテンツからの情報漏えいをもたらす程度となっています。例外は、Data Protection Application Programming Interface (DPAPI) に影響する脆弱性です。DPAPIは、現在のユーザーアカウントやコンピュータの情報によるデータの暗号化を可能にするものです。今月修正されたその脆弱性の場合、悪用されると、攻撃者によるDPAPIのマスターキー閲覧が可能となる危険性があります。その他、Windowsグラフィックスコンポーネントの脆弱性は、メタファイルのメモリ値を漏洩する可能性があります。ただしこの場合、攻撃者がこの情報を使って何ができるかは明らかではありません。
今月は、上述のDNS関連脆弱性を含め、7件のDoS関連脆弱性の修正パッチが適用されています。セキュアチャネル関連の脆弱性2件は、悪用されると、攻撃者が特別に細工したパケットを送信することで、TLSをクラッシュさせることを可能にします。IKEにもDoS関連の脆弱性が報告されていますが、上述のコード実行関連の脆弱性と異なり、この場合、IPSecの要件は記載されていません。最新の機能を搭載した新しいOSを使用している場合は、HTTP DoS関連の脆弱性への修正対応も忘れないことです。この場合、悪用されるには、HTTP/3が有効であり、なおかつバッファードI/Oを使用しているサーバが必要となります。HTTP/3は、Windows Server 2022の新機能であるため、この場合に関しては、旧来のものが影響を受けないという状況ではあります。
9月のリリースでは、Network Device Enrollment (NDES) サービスにおいて、単独のセキュリティ機能迂回に関連する脆弱性への修正対応が含まれています。この場合、攻撃者は、脆弱性を悪用することで、同サービスの暗号化用サービスプロバイダを迂回することができます。
深刻度「低」の脆弱性としては、Microsoft Edge(Chromiumベース)において、ユーザの操作を必要とするサンドボックス機能回避に関するものが報告されています。ただしこの脆弱性のCVSSは7.7であり、Mitreでは「高」と分類されています。
Microsoft社は、ユーザからのアクションが必要なため「低」と主張していますが、やはり、注意すべきセキュリティアップデートが必要な脆弱性として扱い、修正適用のロールアウトを遅らせないことが重要です。
今月、ZDIからの新規のアドバイサリは発表されませんでした。最新のサービシングスタックの更新は、改訂版ADV990001に記載されています。
参考記事:
• 「THE SEPTEMBER 2022 SECURITY UPDATE REVIEW」
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)