エクスプロイト&脆弱性
2023年1月 セキュリティアップデート解説:Adobe社29件、Microsoft社98件の脆弱性に対応
2023年最初のパッチチューズデーを迎えました。予想通り、Adobe社およびMicrosoft社から最新の修正プログラムや更新プログラムがリリースされています。以下、今月リリースされた脆弱性情報とセキュリティ対策をご紹介します。
2023年最初のパッチチューズデーを迎えました。予想通り、Adobe社およびMicrosoft社から最新の修正プログラムや更新プログラムがリリースされています。以下、今月リリースされた脆弱性情報とセキュリティ対策をご紹介します。
2023年1月Adobe社からのセキュリティアップデート
2023年1月、Adobe社からは、Adobe AcrobatおよびReader、InDesign、InCopy、Adobe Dimensionの製品で確認された脆弱性29件に対して4件の修正パッチがリリースされました。これらの脆弱性のうち、22件はZDIプログラムを通じて提出されたものです。Readerへのアップデートでは、15件の脆弱性が修正され、そのうち8件は深刻度が「緊急」に分類されていました。中でも最も深刻なものは、影響を受けたシステム上で特別に細工された不正なファイルを開封した場合、任意のコードが実行されるという脆弱性です。InDesignへのアップデートでは、6件の脆弱性に修正が施され、そのうち4件の脆弱性が「緊急」に分類されていました。Readerへのアップデートと同様、この脆弱性の場合も、影響を受けたシステム上で不正なファイルを開くと、コードが実行される可能性があります。同様の脆弱性悪用のリスクは、InCopyにも存在しており、この製品では、6件の脆弱性への修正が施されました。Dimensionのアップデートでは、脆弱性2件のみへの対応ですが、この修正内容には、SketchUpの依存関係に対処するアップデートも含まれていました。そしてこの製品の旧バージョンのタイムスタンプは2月22日ですが、本日出荷された新バージョンは11月9日のスタンプに更新されていました。
今月Adobe社が修正対応した脆弱性の中には、リリース時点で公に知られているものや攻撃で悪用されていたものはありませんでした。Adobe社では、これらのアップデートを優先度3として分類しています。
2023年1月 Microsoft社からのセキュリティアップデート
2023年1月、Microsoft社は、Microsoft WindowsおよびWindowsのコンポーネント、OfficeおよびOfficeのコンポーネント、.NET CoreおよびVisual Studio Code、3D Builder、Azure Service Fabric Container、Windows BitLocker、Windows Defender、Windows Print Spooler Components、Microsoft Exchange Serverの各製品における脆弱性98件に対して新たな修正パッチをリリースしました。これらの脆弱性のうち、25件がZDIプログラムを通じて提出されました。
今月リリースされた98件に対処する修正パッチのうち、11件が「緊急」、87件が「重要」に分類されていました。この量は、Microsoft社による例年1月のリリースとしては、久々に最大規模のものです。この規模が年間を通じて継続されるかどうか、引き続き注視が必要です。
なお、今月リリースされた新たな脆弱性のうち、1件は周知されており、もう1件はリリース時に悪用事例が報告されていたとも記載されています。以下、今月の主要な脆弱性について、悪用事例のものも含めて詳しく見ていきます。
主要な脆弱性
CVE-2023-21674 - Windows Advanced Local Procedure Call (ALPC) 特権昇格の脆弱性:この脆弱性は、今月、活発な攻撃で悪用されているとしてリストアップされた1つです。この脆弱性が悪用されると、ローカルの攻撃者は、Chromium内のサンドボックスでの実行から、カーネルレベルの実行と完全な SYSTEM 権限へと特権を昇格させることができます。このタイプの脆弱性は、マルウェアやランサムウェアの攻撃活動において他の不正コード実行の手口と組み合わされることがよくあります。この脆弱性がセキュリティ企業AvastのリサーチャーによってMicrosoft社へ報告された点を考慮すると、こうした攻撃シナリオの可能性は高いと思われます。
CVE-2023-21743 - Microsoft SharePoint Serverのセキュリティ機能バイパスの脆弱性:「緊急」に分類されたセキュリティ機能バイパス関連の脆弱性を目にすることはほとんどありませんが、当該脆弱性は、そのような珍しいケースといえるでしょう。この脆弱性は悪用されると、未認証の攻撃者が、脆弱性のあるSharePointサーバに対してリモートから匿名での接続が可能となります。この脆弱性に対処するためには、システム管理者は、追加の対策を講じる必要があり、完全な解決のためには、今回リリースされた更新プログラムに含まれている、SharePointのアップグレードアクションを起動する必要があります。この方法の詳細については同更新プログラムのアドバイスを参照してください。このケースは「とにかく修正パッチを当てさえすればよい」という考え方が、企業での修正パッチ管理の現実からすると完全ではないことを示す典型例といえるでしょう。
CVE-2023-21763 / CVE-2023-21764 - Microsoft Exchange Serverの特権昇格の脆弱性:これらの脆弱性は、ZDIのリサーチャーPiotr Bazydłoが確認したものであり、脆弱性「CVE-2022-41123」の修正パッチの失敗から起因した不具合と見られています。このため、これらの脆弱性は、不完全な修正パッチに関連した新しいタイムラインの中で報告されました。これらの脆弱性が悪用されると、ハードコード化されたパスの使用により、ローカルの攻撃者は、独自のDLLを読み込み、SYSTEMレベルでの不正コード実行が可能となります。最近の報告では、インターネットからアクセス可能な約7万台の修正パッチ未適用のExchangeサーバでこの不具合が確認されています。Exchangeをオンプレミスで運用している場合は、Exchangeの修正プログラムをすべてテストして直ちに今回の修正対応を実施することです。そしてMicrosoft社が今回のこれらの脆弱性に速やかに対応してくれることを願っています。
その他の脆弱性
その他「緊急」に分類された脆弱性への修正対応としては、既に紹介したとおり、Cryptographic Servicesに関する2件が挙げられ、いずれも、特権昇格ではなく、リモートコード実行に関連しています。また、Windows 2000時に導入されたLayer 2 Tunneling Protocol (L2TP)に関する脆弱性への修正対応は今回5件挙げられています。これらの脆弱性は、未認証の攻撃者が特別に細工した接続リクエストをRASサーバに送信することにより、リモートコード実行が行使される可能性があります。Microsoft社は、攻撃者間での競争激化も影響し、これらの脆弱性悪用は複雑性が高くなっていると説明しており、同社からの脆弱性対処だけでは十分ではないかもしれません。Secure Socket Tunneling Protocol (SSTP)関連の脆弱性2件についても同様の状況となっています。
今回修正対応されたリモートコード実行の脆弱性としては、さらに25件があり、そのうちの14件は、ZDIのリサーチャーMat Powellが報告した3D Builderのコンポーネントに関する修正対応です。これらの脆弱性が悪用される場合は、いずれも、リモートコード実行の不正活動が行使されるためには、ログオンしているユーザが不正なファイルを開く必要があります。また、同じくPowelの報告によるVisioの脆弱性2件を含め、Visual StudioやOffice関連の脆弱性についても同様の状況となっています。また、LDP関連の脆弱性も報告されており、筆者も注視していますが、今回の記載によると、この脆弱性も悪用に際しては認証が必要と説明されています。Windowsの認証機能にもリモートコード実行の脆弱性の存在が報告されていますが、記載事項は一般的な説明に終始しているようです。Microsoft社の記載には「(この脆弱性が悪用されると)攻撃者がすでに影響を受けたシステムにアクセスし、コード実行を行使できる」とのみ説明されています。可能であれば、この脆弱性を報告したリサーチャーからさらなる追加情報を提供してくれることを期待します。SharePoint関連でも、認証を必要とするリモートコード実行の脆弱性対応2件が報告されています。しかしこの認証については、デフォルトですべてのユーザが有しているものであり、その意味では既に脆弱性悪用に必要な権限が提供されているともいえます。SQL関連では脆弱性対応が2件報告されており、1つ目は、ODBCドライバに関するものでした。攻撃者は、認証済のユーザを促し、ODBC経由で不正なSQLサーバに接続させることができれば、コード実行が可能となります。SQL向けのWDAC OLE DBドライバのコンポーネントの脆弱性についても同様のシナリオが存在しています。
上述のものも含め、今月修正対応された特権昇格(EoP)関連の脆弱性は、合計38件でした。これらの大部分は、攻撃者が標的のシステム上でのコード実行を介して特権昇格させる手順であり、通常はSYSTEMレベルへの昇格となっています。そしてこれらの中にはいくつか興味深い脆弱性が散見されます。既に公開済であるWorkstation Service関連の脆弱性の場合、実際はRPCを介したリモートからの攻撃が可能となります。この脆弱性が悪用されると、通常はローカルクライアントのみに制限されているRPC機能のリモートでの実行が可能となります。ただし、RAMが3.5GB未満のシステムの場合のみ、このような攻撃が可能であるため、このリスクを回避するためにRAMを買い足す選択肢も可能といえるでしょう。Print Spoolerに関する修正対応は3件であり、そのうちの1件は米国家安全保障局(National Security Agency)からの報告です。LSA関連でも特権昇格の脆弱性が確認されており、この脆弱性が悪用されると、SYSTEMレベルでの特権昇格の例外扱いとなっているグループ管理サービスアカウント(gMSA)上でもコード実行が行使される可能性があります。Backup Service関連の脆弱性では、悪用されると、特権昇格かデータ削除のいずれかの動作が可能となります。Defender関連の脆弱性でも同様の悪用リスクが存在しています。最後に、Azure Service Fabric関連の修正対応では、Dockerで操作されたService Fabricのクラスターへ影響を与える脆弱性への対処となっています。この脆弱性に対処するためには、Service Fabricを手動で更新して「BlockAccessToWireServer」というフラグ機能を有効化しておく必要があります。
今月報告された情報漏えい関連の修正対応は11件であり、そのうち7件は単に不特定のメモリ内容の情報漏えいになっています。他の脆弱性ではいくつか興味深い点が確認されます。まず、Cryptographic Service関連で脆弱性が3件確認されており、悪用されると、いわゆる「Windows暗号関連の秘密情報」を公開するという不具合でした。そのうちの1件は、暗号機能について何らかの情報を有しているかもしれない、カナダの通信安全保障機構「Communications Security Establishment」(米国のNSAに相当する機関)から報告されました。Exchange関連でも情報漏えいの脆弱性が報告されていますが、Microsoft社からの記載は単に「機密情報を開示する結果になりかねない」という説明だけとなっています。
セキュリティ機能バイパスの脆弱性では、上述したSharePointの修正対応の他、さらに3件が報告されています。1件は、BitLocker関連の脆弱性であり、悪用されると、物理的なアクセスが可能な攻撃者により、暗号化されたデータへのアクセスが可能となります。また、Boot Manager関連のセキュリティ機能バイパスの脆弱性の場合も、悪用するためには、物理的なアクセスが必要となるようです。盗難やその他の物理的な攻撃からシステムを守るためにこれらの製品を利用している場合、速やかに修正パッチの適用を推奨します。Smart Card Resource Management Serverの場合も、セキュリティ機能バイパスの脆弱性が悪用されることにより、影響を受けるシステム上で管理されているFIDOキー関連のデータへのアクセスが可能となります。
サービス妨害(DoS)関連の脆弱性では、10件の修正対応が報告されています。Microsoft社は、これらの脆弱性についての詳細を提供していないため、悪用された場合、サービスが停止するのか、システムがクラッシュするのか、想定される被害は明確ではありません。筆者としては、NetlogonおよびLDAPサービスの脆弱性を最も懸念しています。これらのコンポーネントに対するDoS攻撃が成功すると、企業に大きな影響を与えてしまうからです。
Exchangeサーバでは、なりすまし関連の脆弱性対応が2件報告され、悪用された場合、なりすましだけにはとどまらない被害が及ぶかもしれません。1つは、悪用されると、最終的にNTLMのハッシュ値が公開される可能性があり、情報漏えいの被害へつながるようです。もう1つは、認証された攻撃者がなりすましにより、サーバへのPowershellリモートセッションを利用することで、最終的には、特権昇格の被害が及ぶかもしれません。いずれにしても、今月修正対応された複数の脆弱性に対処するため、Exchangeサーバのアップデートをお勧めします。
今月、新たなアドバイザリは発表されませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2023年2月14日の予定です。このバレンタインデーは、セキュリティイベント「Pwn2Own Miami」の初日でもあります。それまでは今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。合わせてご参照ください。
Microsoft社2023年1月発表の全リスト
2023年1月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE JANUARY 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)