エクスプロイト&脆弱性
2022年10月 セキュリティアップデート解説:Adobe社29件、Microsoft社96件の脆弱性に対応
2022年10月もパッチチューズデーを迎え、Adobe社とMicrosoft社が最新のセキュリティアップデートと修正プログラムを公開しました。これらの最新セキュリティ情報をご確認ください。
2022年10月もパッチチューズデーを迎え、Adobe社とMicrosoft社が最新のセキュリティアップデートと修正プログラムを公開しました。これらの最新セキュリティ情報をご確認ください。
Adobe社からのセキュリティアップデート
2022年10月、Adobe社は、Adobe Acrobat Reader、ColdFusion、Commerce Magento、Adobe Dimensionの脆弱性29件に対応する4件の修正パッチを公開しました。これらの脆弱性のうち、合計22件はトレンドマイクロが運営する脆弱性発見コミュニティであるZero Day Initiative(ZDI)を通じて報告されました。ColdFusionのへの修正は、CVSS 9.8のコード実行に関する脆弱性に対処しており、最も重大なものに分類されています。また、同製品のAdmin Componentサービスの脆弱性も修正対応されています。このサービスでは、管理者ユーザに対してハードコードされたパスワードが使用されていることから、攻撃者は、この脆弱性を悪用することで、システム上の認証を回避することができます。ハードコードされた認証情報に関連する脆弱性が長い間発見されずに製品に存在していた点も特筆すべきといえます。
Commerce Magentoのセキュリティアップデートは、脆弱性1件のみへの対応ですが、CVSS 10の深刻度となっています。これらの製品のいずれかを使用している場合は、今回のクロスサイトスクリプティング(XSS)関連の脆弱性に対して、速やかにテストを実施し、修正パッチの適用をしてください。Acrobat Readerでのセキュリティアップデートでは、6件の脆弱性への修正が実施されました。最も深刻なものは、スタックベースのバッファオーバーフローに関する脆弱性であり、任意のコード実行を引き起こす可能性があります。ただし脆弱性悪用に際しては、任意のコードを実行させるためにユーザが特別に細工されたPDFを開く必要があります。Dimensionのセキュリティアップデートでは、9件の脆弱性への修正が実施され、そのうち8件が「緊急」に分類されていました。これらのほとんどは、ファイル実行に関する脆弱性であり、悪用に際してはユーザのアクションが必要となります。
今月Adobe社が修正対応した脆弱性は、いずれもリリース時点で周知されていたり、攻撃に悪用されていたりしたものは含まれていませんでした。Adobe社ではこれらのセキュリティアップデートを優先度3として分類しています。
Microsoft社からのセキュリティアップデート
2022年10月、Microsoft社は以下の製品に関する85件の脆弱性に対処する新規のセキュリティアップデートを公表しました。
- Microsoft WindowsおよびWindowsコンポーネント
- Azure、Azure Arc、Azure DevOps
- Microsoft Edge(Chromiumベース)
- OfficeおよびOfficeコンポーネント
- Visual Studio Code
- Active Directory Domain Services およびActive Directory Certificate Services
- Nu Get Client; Hyper-V
- Windows Resilient File System (ReFS)
これらに加え、Microsoft Edge(Chromiumベース)の脆弱性11件(Armプロセッサのサイドチャネル投機に関する不具合)への修正適用1件が含まれています。こうして脆弱性件数は、合計96件となりました。このうちの6件はZDIプログラムを通じて提出されたものです。
さらに興味深い点は、今月のリリースに含まれていないものの内容です。少なくとも2週間前からExchangeの脆弱性2件が活発に悪用されているにもかかわらず、今回Exchange Serverに対するアップデートはありませんでした。これらの脆弱性は、2022年9月初めにZDIが購入し、その時点でMicrosoft 社に報告していたものです。今回まだこれらの脆弱性に完全に対処するためのアップデートがないため、管理者が実行できる対処法は、2021年9月の累積アップデート(CU)がインストールされていることを確認することです。これにより、Exchange Emergency Mitigationサービスが追加されます。このサービスは、利用可能な緩和策を自動的にインストールし、診断データをMicrosoft 社へ送信します。その他、最新情報については同社によるこちらの投稿をご覧ください。緩和策のアドバイスは何度も変更されており、頻繁に更新を確認する必要があります。
今月公開された新規の修正パッチ85件のうち、15件は「緊急」、69件は「重要」、1件は「警告」の深刻度に分類されています。月別の件数としては、これまでの10月のリリースとほぼ同じではあるものの、現時点での総数は2021年の合計件数を上回る勢いです。この点では、2022年も同社にとって忙しい年になるといえるでしょう。今月リリースの新規の脆弱性のうち、1件は周知されていたもの、もう1件はリリース時に出回っているものとして確認されています。以下、主要な脆弱性について活発な攻撃で悪用されているものから詳しく見ていきます。
Microsoft社で今月確認された主要な脆弱性
CVE-2022-41033 - Windows COM+ イベントシステムサービスにおける特権昇格の脆弱性:この脆弱性は、Microsoft社が「アクティブな攻撃で悪用されている」として認識しているものですが、攻撃規模がどの程度であるかは特定されていません。この脆弱性が悪用されると、特権昇格が可能となり、標的のシステムを乗っ取るために設計された他のコード実行との組み合わせで悪用される可能性があります。このタイプの脆弱性悪用では、ユーザに対して添付ファイルを開かせたり、不正なウェブサイトを閲覧させたりするなど、何らかのソーシャルエンジニアリングの手口が駆使されることがよくあります。サイバーセキュリティ啓発月間である10月、フィッシング対策に関するセキュリティ教育は常時実施されているとしても、何でも安易にクリックしてしまう「人の脆弱性」には常に注意が必要であり、この修正プログラムについても速やかにテストを実施し、セキュリティアップデートを適用してください。
CVE-2022-37987/CVE-2022-37989 - Windows Client Server Run-time Subsystem (CSRSS) における特権の昇格の脆弱性:これらの脆弱性は、ZDIのシニア脆弱性リサーチャー Simon Zuckerbraunに報告され、CSRSS プロセスの依存関係検索時の動作に関連するものです。脆弱性「CVS-2022-37989」は、以前の脆弱性「CVE-2022-22047」への修正パッチの不具合を補強するものでもあります。この脆弱性は、CSRSSが信頼されていないプロセスからの入力を受け入れるというセキュリティ上の不十分さに起因しています。一方、脆弱性「CVE-2022-37987」は、CSRSS自体を欺き、安全でない場所から依存情報を読み込ませることで機能する新しい攻撃に悪用されるものです。これらの脆弱性の詳細については、今後もZDIのブログで報告していきます。
CVE-2022-37968 - Azure Arc対応Kubernetesクラスタ接続における特権昇格の脆弱性:この脆弱性が悪用されると、Azure Arc対応のKubernetesクラスタへの管理者権限が取得されてしまう可能性があります。Azure Stack Edgeデバイスもこの脆弱性悪用の被害を受ける可能性があります。遠隔での脆弱性悪用の場合、攻撃者は、Azure Arc対応Kubernetesクラスタ向けにランダムに生成されるDNSエンドポイントの情報を把握しておく必要があります。なお、この脆弱性は、深刻度評価としては最も高いCVSS 10.0に分類されている点も注意が必要です。このタイプのコンテナを実行している場合は、自動更新を有効にするか、Azure CLIで適切なコマンドを実行して最新バージョンへ手動での更新を実行してください。
CVE-2022-38048 – Microsoft Office のリモートコード実行の脆弱性:この脆弱性は「hades_kito」という名前で知られるリサーチャーによりZDIへ報告され、「緊急」に分類された稀なOffice関連の脆弱性として確認されています。Office関連の脆弱性は、ほとんどの場合、ユーザの操作(通常、ファイルを開くこと)が必要となるため、深刻度は「重要」に分類されるからです。例外として過去に「緊急」に分類された脆弱性としては、プレビューペインが攻撃経路となったケースがありましたが、Microsoft社は、今回はそのケースには該当しないとしています。恐らくユーザが特別に細工されたファイルを開く際、今回の脆弱性悪用の場合、警告表示がポップアップされないため、「緊急」に分類されたと考えられます。いずれにしても、この脆弱性が悪用されると、パスワードレス認証(UAF)のフリーコール時に任意のポインタが渡され、さらなるメモリ破壊を引き起こす可能性があり、注意が必要です。
今回「緊急」に分類されたその他のセキュリティアップデートを見ると、Active Directory Certificate Services (ADCS)への修正対応が注目されます。ただし、この脆弱性悪用は容易ではありません。攻撃者は、DCOMクライアントとしてADCSを通じてDCOMサーバを認証させ、その認証情報を使ってクロスプロトコル攻撃を仕掛ける必要があるからです。また、Point-to-Point Tunneling Protocol (PPTP)関連でも「緊急」に関するセキュリティアップデートが7件あります。現在もPPTPを使用している場合は、最新かつ安全なソリューションへの移行を検討してください。その他、Hyper-V のゲストからホストへのエスケープについて、ルートOS 上でコードが実行される可能性のある脆弱性についても修正対応されました。これらに加え、Officeコンポーネントに関連する「緊急」の脆弱性2件も報告されています。この場合も、双方ともプレビューペインが攻撃経路ではなく、「緊急」に分類された詳細な理由については不明です。同様にSharePoint関連でも「緊急」に分類された脆弱性の修正対応が報告されています。内容的には「重要」に分類された他のSharePointの脆弱性と同じように見えますが、この脆弱性だけが「緊急」であるという詳細について、Microsoft社は明記していません。
その他、リモートコード実行の脆弱性に関する修正対応は9件のみであり、そのうち3件はすでに述べた「緊急」に分類されたSharePointの脆弱性と同様の記述がされています。SQL Server用のWDAC OLE DBプロバイダの脆弱性では2件の修正対応、ODBCドライバ自体の脆弱性は1件の修正対応が報告されています。Visual Studio Codeのリモートコード実行関連の脆弱性への修正対応も報告されていますが、どのような攻撃シナリオになるのかの詳細は記載されていません。GDI+関連の脆弱性の場合は、詳細が記載されています。この場合、脆弱性を悪用するには、攻撃者がユーザに不正なウェブサイトを閲覧させるか、特別に細工されたファイルを開いてコードを実行させる必要があります。元Pwn2Ownの優勝チーム「Team Orca of Sea Securit」のBien Pham氏は、ZDIプログラムを通じてCD-ROMドライバに存在するコード実行の脆弱性を報告しました。これは、整数のオーバーフローに関するもので、悪用されるとカーネルのヒープメモリに境界外書き込みが可能となります。なお、この場合、悪用に際して攻撃者はユーザに不正な.iso ファイルを開くように促す必要がありますが、この攻撃シナリオはあまりに現実的でないようです。
今回のリリースでは、上記の脆弱性を含め、合計39件が特権昇格関連のものとなっています。これらの大部分は、認証されたユーザが、影響を受けるシステム上で特別に細工されたコードを実行する必要があり、いくつかの特徴が注目されます。まず特筆すべきは、プリントスプーラに対する修正対応です。プリントスプーラへのセキュリティアップデートはもう恒例となっていますが、特に今回の修正対応は、国家安全保障局(NSA)からの報告に基づいていました。その他、Workstationサービスでの特権昇格の場合は、リモートによる実行が可能である点が注目されます。攻撃者は、通常、ローカルクライアントに制限されているRPC関数によってこの動作を実行するからです。また、DHCPサービスに不正なRPC呼び出しを送信してSYSTEMに特権昇格させる場合は認証が必要です。Active Directory Domain Services関連の脆弱性の場合は、攻撃者がドメイン管理者権限を得ることができる可能性がありますが、Microsoft社、それがどのように発生するかについての詳細は提供していません。.NET用NuGetパッケージマネージャは、複数のNuGetバージョンに影響を与える脆弱性への修正対応が実施されました。なお、Visual Studio Codeの脆弱性への修正対応では、以下のような興味深い回避策が示されていました。
フォルダ「C:\ProgramData\jupyter\kernels」を作成し、「現在のユーザ」のみが書き込み可能な状態に設定してください。
なぜこのような設定で攻撃を防げるのかは不明ですが、Microsoft社は防げると主張しています。最後に、LSA(Local Security Authority)関連の特権昇格の脆弱性の場合は、悪用されると、サンドボックスの回避につながる可能性があります。
今回2022年10月のリリースでは、公表されているOffice関連の脆弱性1件を含み、合計11件が情報漏えい関連の脆弱性への修正対応となっていました。その他の情報漏えいの脆弱性のほとんどは、不特定のメモリ内容からの流出に関するものでした。そうした中、いくつかの顕著な例外としては以下の脆弱性が挙げられます。Web Account Manager関連の脆弱性の場合、悪用されると、特定のクラウドで発行されたバインドされていないリフレッシュトークンを別のクラウド環境で閲覧できるようになる可能性があります。Visual Studio CodeおよびMixed Reality Developer Tools関連の脆弱性への修正では、悪用されると、ファイルシステムからの読み取りを可能となる不具合への対処でした。今月修正された最後の情報漏えい関連の脆弱性への修正は、通常はアクセスできないレジストリであるHKLMハイブからの読み取りを可能にする不具合への対処でした。
セキュリティ機能バイパス(SFB)関連の脆弱性に対する修正対応は2件報告されています。そのうちの1つは、悪用に際して物理的なアクセスが必要となるものでした。この場合、旧式のUSBコントローラハードウェアを搭載したシステムでは、グループポリシーがサイレントエラーとなるため、Windows Portable Device Enumeratorサービスが、USB ストレージデバイスの挿入する攻撃に対して無防備となる可能性があるからです。Active Directory証明書サービスでのSFB関連の脆弱性では、中間者 (MiTM) 攻撃が必要となり、Windowsチャレンジ/レスポンス (NTLM) 認証突破で悪用されます。
DoS攻撃関連の脆弱性では8件の修正パッチが適用されています。その中で最も興味深いのは、TCP/IPへのDoS攻撃に関する脆弱性です。この場合、リモートで未認証の攻撃者に悪用される可能性があり、ユーザ側の操作を必要としない点が特筆されます。Microsoft社は、IPv6を無効にしているシステムは影響を受けないとしていますが、最近のほとんどのシステムの場合、IPv6はデフォルトで有効になっているため、注意が必要です。その他の7件のDoS攻撃関連の脆弱性への修正対応については、詳細は提供されていません。
なりすまし関連の脆弱性への修正対応では、Microsoft Edge(Chromiumベース)の脆弱性に対処したものが「警告」に分類された中、合計5件の脆弱性対応が報告されています。最も特筆すべきは、Windows CryptoAPIに対する「緊急」に分類された脆弱性への修正対応です。この脆弱性が悪用されると、攻撃者は既存のパブリックx.509証明書を偽装し、標的になりすました証明書として認証やコード署名を実行することが可能となります。近い将来、マルウェアの作者は間違いなくこの脆弱性を悪用してくると予想されます。その他、Service Fabric Explorerには、クロスサイトスクリプティング(XSS)の脆弱性が確認されています。ユーザは、こちらの手順に従い、Service Fabric Explorerが最新版であることを確認する必要があります。OfficeやNTLMのなりすまし関連の脆弱性については、追加の詳細は提供されていません。
今月は新規のアドバイザリは発表されていません。最新のサービシングスタックの更新は、改訂版ADV990001に記載されています。
2022年10月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
• 「THE OCTOBER 2022 SECURITY UPDATE REVIEW」
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)