エクスプロイト&脆弱性
2022年12月 セキュリティアップデート解説:Adobe社32件、Microsoft社54件の脆弱性に対応
今月は2022年最後のパッチチューズデー(月例セキュリティアップデート)となります。またセキュリティイベント「Pwn2Own Toronto」後の最初のアップデートでもあります。Adobe社とMicrosoft社は、年末休暇に備え、最新のセキュリティアップデートをリリースしたようです。以下、今回の更新で提供された詳細を見ていきましょう。
今月は2022年最後のパッチチューズデー(月例セキュリティアップデート)となります。またセキュリティイベント「Pwn2Own Toronto」後の最初のアップデートでもあります。Adobe社とMicrosoft社は、年末休暇に備え、最新のセキュリティアップデートをリリースしたようです。以下、今回の更新で提供された詳細を見ていきましょう。
2022年12月 Adobe社からのセキュリティアップデート
2022年12月、Illustrator、Experience Manager、Adobe Campaign Classicで37件の脆弱性に対処する3件の修正パッチがリリースされました。これらのうち1件はZDIプログラムを介して報告されました。これらすべての深刻度は「重要」に分類されています。最大の修正パッチがExperience Managerのアップデートであり、32件の脆弱性をカバーしています。そのうち最も深刻なものは「クロスサイトスクリプティング(XSS)を介してコード実行を許可する可能性がある」という脆弱性でした。Illustratorへの修正パッチは、情報漏えい関連の脆弱性4件に対処したものでした。Adobe Campaign Classicへの対応は、特権昇格の脆弱性を修正するものでした。
今月Adobe社によって修正された脆弱性はいずれも、リリース時点で周知されているものや攻撃に悪用されていたものはありませんでした。今回の更新は、Adobe社では優先度3として分類されています。
2022年12月 Microsoft社からのセキュリティアップデート
2022年12月、Microsoft社からは、Microsoft WindowsおよびWindowsコンポーネント、Azure、OfficeおよびOfficeコンポーネント、SysInternals、Microsoft Edge(Chromiumベース)、SharePoint Server、.NETフレームワークに存在する脆弱性に対処するため、52件の修正パッチがリリースされました。なお、12月初めに2件の修正対応が発生したのに加え、総計は54件となります。そのうちZDIプログラムを介して報告された脆弱性は12件でした。
今回リリースされた52件の新たな修正パッチのうち、6件の脆弱性が深刻度「緊急」、43件が「重要」、3件が「警告」と分類されています。通常、12月はMicrosoft社の修正パッチリリースとしては比較的控えめな月として知られていますが、今年も例外ではありませんでした。また、今回が今年一番件数の少ない月となりました。ただし全体的に見ると、2022年は累計で900件以上の脆弱性への修正対応が発生したことから、歴代で2番目に忙しい年となりました。
今月発表された新たな脆弱性のうち1件は公表済みとなっており、もう1件はリリースの時点ですでに報告事例が確認されていました。それでは、攻撃に利用されたものから順に主要な脆弱性についてもう少し詳しく見てみましょう。
主要な脆弱性
CVE-2022-44698 - Windows SmartScreenセキュリティ機能回避の脆弱性
この脆弱性はTwitter上でも広く議論されており、先月修正対応された「Webからの痕跡」に関連している可能性が高いと見られています。この脆弱性が悪用されると、Microsoft Officeの保護ビューなどのセキュリティ機能を回避するため、「Mark of the Web」(ファイルがインターネットなどの信頼できない場所からダウンロードされたものであると通知する警告機能)の検出を避けるファイルが作成される可能性があります。数多くのフィッシング攻撃が添付ファイルを開封するユーザの動作に依存していることを考えると、このセキュリティ機能は、マルウェアやその他の攻撃を阻止する上で不可欠です。ようやくMicrosoft社がこれらの脆弱性に対応した点は良い傾向といえるでしょう。
CVE-2022-44713 – Mac Microsoft Outlook の偽装に関連する脆弱性
なりすまし関連の脆弱性は、あまり取り上げられないものの、メールを扱う上で注意すべきリスクであることには変わりません。この脆弱性が悪用されると、攻撃者は容易に信頼性が高く見えるユーザになりすますことが可能となります。この脆弱性と上述のSmartScreenの「Mark of the Web」の脆弱性を組み合わせることで、例えば、上司からのメールに偽装して「Executive_Compensation.xlsx」という添付ファイルを受信するというシナリオが想定され、多くのユーザは不注意にファイルを開封してしまうことでしょう。
CVE-2022-41076 – PowerShellリモートコード実行の脆弱性
「緊急」に分類されたこの脆弱性は、悪用されると、認証済みユーザがPowerShell Remotingセッション構成から逃れ、脆弱な端末上で未承認のコマンドを実行することが可能になります。そして攻撃者は、初期侵入の後、環境寄生型の手口を行使する傾向にあります 。つまり、システム上の既存のツールを使用してアクセスを維持し、ネットワーク内を移動します。PowerShellは、そのような手口に利用されるツールであるため、セッション構成を逃れることが可能な今回のような脆弱性は、攻撃者に悪用される可能性が高く、修正パッチの適用を怠らないことです。
CVE-2022-44699 - Azure Network Watcher Agentセキュリティ機能回避の脆弱性
過去に大規模なインシデント対応を行った筆者としては、ログを記録することの重要性は十分承知しています。その点で、この脆弱性対応は特筆に値します。この脆弱性が悪用されると、Network Watcherエージェントからのパケットキャプチャを終了させることが可能となります。このツールに依存している企業は多くないかもしれませんが、このVMエクステンションを使用している場合は、重要な対応事項として迅速に適用すべきでしょう。
その他の脆弱性
「緊急」に分類された残りの修正パッチを見ると、旧来のSSTP(Secure Socket Tunneling Protocol)への対応が2件公表されています。いずれも、RASサーバとしての役割を有効にしたサーバへ不正な接続リクエストを送信することで、未認証の攻撃者が対象のシステム上でリモートコード実行を行うことが可能となります。このサービスを使用していない場合は必ず無効にしておくことです。このサービスを使用している場合は、修正パッチを速やかに適用してください。また、SharePoint サーバ関連では、「緊急」に分類されたコード実行の脆弱性が2件公表されており、古い修正パッチが適用されていた脆弱性の悪用事例が確認されています。SharePointインスタンスに正しく最新の修正パッチが適用されているかどうか、必ず確認しておくことです。「緊急」として分類されたもう1つの脆弱性は、Dynamics AVに存在しており、この脆弱性は悪用されると、認証済みの攻撃者がネットワークコールを通じてサーバ上のアカウントでのコード実行が可能となります。
その他、リモートコード実行関連の脆弱性16件に修正対応が実施され、これらの中にはZDIのリサーチャーMat Powell氏に報告されたOffice関連の脆弱性数件も含まれていました。これらの大部分は脆弱性悪用に際してユーザによるファイルの開封が必要なものですが、そのうちのいくつかには注意しておく必要があります。また、.NET Frameworkへの修正対応は、サポートされているすべてのバージョンに該当しますが、脆弱性自体に関する詳細は記載されていません。2人の異なるリサーチャーがこの脆弱性の報告者であることを主張しているので、複数の情報源に伴う衝突を回避しているのかもしれません。複数のリサーチャーが別々に報告する脆弱性については、筆者もいつも特別な注意を払っています。なお、Windows Store上では、Windows Terminalの脆弱性に対応した更新プログラムが用意されており、自動的に適用されるはずです。ただし自動更新を無効にしている場合や、オフライン環境の場合は、手動で修正パッチの適用が必要となります。
特権昇格(EoP)の脆弱性については18件の修正パッチがリリースされました。ほとんどの場合、これらの脆弱性を悪用するには、対象のシステム上で不正なコードを実行する認証済みユーザが必要となります。ただしさらなる調査が必要な脆弱性もいくつか存在しています。その中の最初の2件は、Print Spoolerサービス関連の脆弱性への対応であり、現在も続く脆弱性PrintNightmareに関連する不具合となっています。DirectX Graphics Kernel 関連の脆弱性も今月公開対応されたものの1つです。上述のとおり、これらに関しても環境寄生型やその他の手口との組み合わせによる悪用への注意が必要となります。Sysinternals Sysmon 関連の脆弱性も、Sysinternalsサービスへ依存するユーザが多い中、組み合わせによる悪用への注意が必要です。特権昇格を行使する際に複数の脆弱性悪用が駆使される可能性があります。その他、注目すべき特権昇格関連としては、Hyper-V の脆弱性があります。この脆弱性が悪用されると、攻撃者はSYSTEM 権限でのコード実行が可能となります。
情報漏えい関連では、3件の脆弱性が公表されました。これらはいずれも、悪用されると不特定のメモリ内容が漏えいされる可能性があります。
DoS(Denial-of-Service)攻撃関連では、3件の脆弱性へ修正対応が実施されました。最初の1件はHyper-Vに存在する脆弱性であり、悪用されると、ゲストOSからホストOSの機能へ影響を与えることが可能となります。この点についてMicrosoft社は、Hyper-Vのホスト側が完全にシャットダウンされてしまうのか、特定のサービスのみが影響を受けるかなどの詳細については明確にしていません。いずれにしても、ゲストOSがホストOSに悪影響を与えることを可能にする脆弱性は好ましいものとはいえません。その他のDoS攻撃関連ではWindowsカーネルおよびLocal Session Manager(LSM)に存在する脆弱性がありますが、Microsoft社はこれらに関しての詳細情報を提供していません。
なりすまし関連では、Outlook for Macのほか、Microsoft Edge(Chromiumベース)に存在する脆弱性への対応があげられます。この脆弱性は、悪用されると、ウェブサイト上のエラーメッセージを表示する自動入力ボックスの内容を、攻撃者が変更することが可能となります。興味深い脆弱性であり、実際の攻撃でどう使われるかははっきりしていませんが、想定外の手口を仕掛けてくる攻撃者に対しては警戒を怠るべきではないでしょう。
最後に今月、Microsoft Windows Hardware Developer Program認定のサードパーティのドライバに関する追加ガイダンスの新規アドバイサリ(ADV220005)が1件公表されています。Microsoft社では、当該ドライバに関連する脆弱性悪用の活動事例が報告されたことを伝えています。なお、今月、Microsoft社のサービススタックに関する更新はありませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2023年1月10日の予定です。それまでは今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。合わせてご参照ください。
Microsoft社12月発表の全リスト
2022年12月パッチチューズデーにMicrosoft社が発表した52件の脆弱性リストはこちらをご参照ください。