エクスプロイト&脆弱性
2023年3月 セキュリティアップデート解説:Adobe社は105件、Microsoft社は80件の脆弱性に対応
「円周率の日」となる3月14日に、5月にバンクーバーで開催予定のPwn2Ownに先駆けて、2023年第3回目のパッチチューズデイにおけるAdobe社とMicrosoft社の最新セキュリティアップデートを解説します。
「円周率の日」となる3月14日に、5月にバンクーバーで開催予定のPwn2Ownに先駆けて、2023年第3回目のパッチチューズデイにおけるAdobe社とMicrosoft社の最新セキュリティアップデートを解説します。
2023年3月Adobe社からのセキュリティアップデート
2023年3月、Adobe社は、Adobe Photoshop、Experience Manager、Dimension、Commerce、Substance 3D Stager、Cloud Desktop Application、Illustratorに関する105件の脆弱性に対処する8件の修正パッチをリリースしました。これらの脆弱性のうち77件はZDIプログラムを通じて報告されました。今回の対応は、非常に長い期間を含む大規模なアップデートとなります。ColdFusionへの修正パッチは、脆弱性悪用に対応するものであり、CVSS 9.8の評価を受けた「緊急」に分類された脆弱性3件を修正しています。この修正対応は、同社からも適用優先度1に分類されています。
Dimensionへの修正パッチは、この対応だけで約60件の脆弱性を修正する最も大規模なものとなっています。Substance 3D Stagerへのアップデートも、任意のコード実行につながる可能性がある脆弱性16件に対処しています。Experience Managerへの修正パッチは、クロスサイトスクリプティング(XSS)およびオープンリダイレクトの脆弱性18件への対処となっています。
Commerceへの修正パッチには、未認証ファイルシステムの読み取りという脆弱性への対処が含まれています。このプラットフォームを使用している場合、今回のような脆弱性の開示は大きな影響につながる可能性があります。PhotoshopおよびIllustratorへのアップデートは、現在のユーザーレベルでコード実行につながる可能性がある多くのオープンアンドオウンバグ(攻撃者にシステムを開放し、所有させることが可能となる脆弱性)に対処しています。Creative Cloudへの修正パッチは、「緊急」に分類されたコード実行の脆弱性へ対応しています。
今月同社が修正したその他の対応では、リリースの時点で広く知られているものや、実際の攻撃に悪用されているものはありませんでした。上述のColdFusionを除いて、同社はこれらのアップデートを適用優先度3に分類しています。
2023年3月 Microsoft社からのセキュリティアップデート
2023年3月、Microsoft社は、Microsoft WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Edge(Chromiumベース)、Microsoft Dynamics、Visual Studio、さらにAzureの脆弱性に対処する74件の新しい修正パッチをリリースしました。ここには、以前にGithubから対処された脆弱性4件およびTPMから対処された2件も含まれており、これらも今回改めてMicrosoft社からの合計80件のアップデートとして対応されました。今回対応された脆弱性のうち2件は、ZDIプログラムを通じて報告されました。
今回リリースされた修正パッチのうち、6件が深刻度「緊急」、67件が「重要」、1件が「中」に分類されています。今回の件数は、Microsoft社からのリリースとしては、コロナ後の「新たな日常」を示す分量的な基準となりそうです。ただし、先月と同様、リモートコード実行(RCE)の脆弱性が引き続きリリースの大半を占めています。
新しい脆弱性のうち2件は、リリースの時点で既に悪用事例が報告されており、そのうちの1件は周知済みとなっています。以下、今月の主要な更新から見ていきます。まず、悪用が確認されたものから始めます。
CVE-2023-23397 - Microsoft Outlookにおけるなりすまし関連の脆弱性
この脆弱性は技術的にはなりすましに関連していますが、実際の攻撃では認証回避に悪用されています。この脆弱性が悪用されると、影響を受けたシステムへ特別に作成された電子メールを送信するだけで、未認証の攻撃者がユーザのNet-NTLMv2ハッシュにリモートアクセスできるようになります。このハッシュはリレー攻撃によってユーザ偽装にも使用できるため、認証回避が可能になります。また、プレビューペインで確認しようとしても、電子メールが表示される前に悪用される可能性があるため、この機能を無効にするだけでは対策にはなりません。これらの攻撃がどの程度広範囲に行われているかに関する情報は提供されていませんが、速やかにテストを実施し修正パッチを適用することをお勧めします。
CVE-2023-24880 - Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性
この脆弱性は他の悪用事例で言及されているものですが、注目度は低いようです。この脆弱性が悪用されると、Mark of the Web(MOTW)の防御をバイパスするファイルが作成可能になります。Microsoft OfficeのSmartScreenおよびProtected Viewなどの保護措置は、MOTWに依存しています。これらがバイパスされると、スマートスクリーンによって停止されるべき不正なドキュメントやその他の不正ファイルを介したマルウェアの拡散が容易になります。
CVE-2023-23392 - HTTPプロトコルスタックにおけるリモートコード実行の脆弱性
CVSS 9.8に分類されたこの脆弱性は、悪用されると、リモートの未認証攻撃者がユーザ介入なしにSYSTEMレベルでコードを実行できる可能性があります。また、この脆弱性を悪用すると、感染した端末上でワーム活動も可能になります。ただし、この悪用には、対象となるシステム上でHTTP/3が有効であり、バッファードI/Oが使用される設定となっている必要があります。なお、これは比較的一般的な構成であるため、注意が必要です。Windows 11およびWindows Server 2022のみが影響を受け、この脆弱性は新しいものであり、レガシーコードには分類されていません。
CVE-2023-23415 - インターネット制御メッセージプロトコル(ICMP)におけるリモートコード実行の脆弱性
今後も、ICMP断片化関連の脆弱性が完全になくなることはないでしょう。調査対象としては興味深いものです。これは、エラーメッセージに断片化されたIPパケットが含まれるヘッダーが原因で発生する脆弱性であり、ワーム活動として悪用可能です。この脆弱性もCVSS 9.8に分類されており、唯一の注意点は、悪用されるためには、対象システム上のアプリケーションがRAWソケットにバインドされている必要があることです。すべてのアプリケーションがこの状態にあるわけではありませんが、悪用される可能性は高いと言えます。ICMPを境界でブロックする対策も可能ですが、これを実施するとリモートでのトラブルシューティング作業に悪影響が及ぶ可能性があります。
その他の脆弱性
深刻度の高いその他の脆弱性では、RPCランタイムにCVSS 9.8の脆弱性が存在しており、こちらもワーム活動に悪用可能であるようです。しかし、ICMPとは異なり、境界でRPCトラフィック(特にTCPポート135)をブロックする対処が推奨されます。また、この脆弱性は、広範囲に悪用される可能性も低いとされています。重要度の高いHyper-Vの脆弱性では、「ゲストOSがHyper-Vホストの機能に影響を与える」ことが可能なサービス拒否関連のものも含まれています。この脆弱性が悪用されると、ゲストOSがサーバ全体をシャットダウンできるのか、それとも一部の機能を無効にするのかは明らかではありませんが、いずれにしても、速やかな修正パッチ適用が推奨されます。暗号化サービスには、悪用されると、不正な証明書のシステムへのインポートが可能となる深刻度の高い脆弱性が確認されています。ただし、この脆弱性が悪用されるためには、少なくともソーシャルエンジニアリングの手口を駆使することが必要だと思われます。その他、RASサーバ間で技術的にワーム活動が可能となるポイントツーポイントトンネリングプロトコル(PPTP)の脆弱性も修正対応が施されていますが、この脆弱性が悪用される可能性は低いといえます。
また、リモートコード実行(RCE)に関連する脆弱性では、まず注目すべきは、PostScriptおよびPCL6クラスのプリンタドライバにおける10件の脆弱性です。これらはすべて、悪用する際に攻撃者による認証が必要だと思われますが、過去に他のプリンタ関連の脆弱性でも見られたように、攻撃者によって悪用されやすい脆弱性といえます。RPCランタイムには、さらにRCE関連の脆弱性が3件存在しており、これらは悪用の複雑性が高いため、CVSSスコアは低くなっています。DNSサーバに存在する脆弱性は、一見恐ろしく見えますが、詳しく調べると悪用には高い権限が必要であることがわかります。Bluetoothサービスの脆弱性も興味深いものといえます。この場合、攻撃者は接続されたBluetoothコンポーネントを介してRCEを取得することができますが、Microsoft社は「制限されたネットワーク」へのアクセスが必要である点に注意を促しています。ただし、この注意が対象に物理的に近いことを意味しているのか、それとも影響を受けたシステムに対する別の接続を意味しているのかは明確ではありません。ExcelおよびWindows Media Playerには、ファイルを開かせることで脆弱性を悪用できる「Open-and-Own」タイプの脆弱性がいくつか確認されています。PPPoE(Point-to-Point Protocol over Ethernet)関連でも脆弱性が2件対応されていますが、これらの脆弱性を悪用する場合、攻撃者が対象のネットワークにアクセスする必要があります。
上述したSmartScreenの脆弱性に加えて、今月はセキュリティ機能バイパス(SFB)の脆弱性2件が修正対応されています。1つはExcelに関連する脆弱性であり、攻撃者がユーザに「コンテンツを有効化」をクリックさせることができれば、Excelに備わっているセキュリティスキャンが機能しなくなります。この程度のソーシャルエンジニアリング的なユーザとのやり取りをセキュリティ機能バイパスとみなすのは難しいかもしれませんが、それでも今回の修正対応には感謝すべきでしょう。もう1つのSFB関連の脆弱性は、iOS向けのOneDriveに関連しており、攻撃者はこの脆弱性を悪用することで、ロックされた保管場所のファイル閲覧が可能になります。ただし、悪用に際しては何らかの形で認証が必要なようです。
今月は、特権昇格(Elevation of Privilege, EoP)関連の脆弱性に対処する修正パッチがかなり提供されており、これらの大半は、悪用する場合、攻撃者がターゲット上でコードを実行することで特権昇格が可能になります。主にSYSTEMへの特権昇格が対象となっています。また、http.sysにおける特権昇格の脆弱性は、匿名のリサーチャーによりZDIへ提出されたもので、攻撃者がSYSTEMへ特権昇格できる整数オーバーフローに関する不具合です。グラフィックスコンポーネントでの特権昇格の脆弱性は、リサーチャーのMarcin Wiązowski氏によりZDIへ報告されました。これは、use-after-free(UAF)の脆弱性を利用してSYSTEMへ特権を昇格させるものです。また、Bluetooth関連の脆弱性も興味深く、この場合、悪用されると、攻撃者がAppContainerの分離を回避できる可能性があります。Microsoft Defenderでもアップデートがあり、こちらはおそらく自動更新として対処されているでしょう。ただし、Microsoft Defenderから分離されたオフラインのシステムをご使用の場合は、手動による修正適用が必要となります。オフラインでの修正パッチ適用という点では、macOS向けOneDriveのアップデートがアプリストアで掲載されていますので、アプリの自動ダウンロードが設定されていない場合は、ストアから手動でパッチを取得する必要があります。
今月修正パッチが適用される情報漏洩関連の脆弱性では、そのほとんどは特定されていないメモリ内容からなる不具合に過ぎないようです。ただし、いくつかの例外があり、Microsoft Dynamics 365の脆弱性では、悪用されると、攻撃者がペイロードを作成するために使用できる詳細なエラーメッセージが漏えいする可能性があります。また、Android向けOneDriveにおける脆弱性2件は、悪用されると、OneDriveがアクセスできる特定のAndroid/ローカルURIが漏洩する可能性があります。そして繰り返しになりますが、ご使用のシステムで自動アプリ更新が設定されていない場合は、Google Playストアから手動でこの修正パッチを取得する必要があります。
上述のOutlookでのなりすまし関連の脆弱性に加えて、今月は他にもなりすまし脆弱性5件に修正対応が施されました。1つ目は、すべてAで始まる製品名のAzure Apache Ambariに存在する脆弱性ですが、Microsoft社はこの脆弱性に関する詳細を提供していません。Service Fabricに存在する脆弱性の場合は、悪用されると、攻撃者がWebクライアントをエスケープして対象のブラウザでリモートコードを実行する可能性もあります。ただし、Microsoft社の説明によると、悪用に際しては「複数の連続したイベント」をクリックする必要があるとのことです。また、自動更新を特に有効にしていない場合、このコンポーネントを手動で更新する必要がある点にも注意してください。その他、SharePointに存在するなりすまし関連の脆弱性の場合は、悪用に際しては、ユーザ操作の介在が必要ですが、この場合は単にリンクをクリックするだけのようです。したがって不正なリンクへ誘導させるため、偽装サイトからのリダイレクトによる手口で悪用される可能性があります。同様の脆弱性は、Edge(Chromiumベース)ブラウザでも修正対応が施されています。今月修正されたなりすまし関連の脆弱性もユーザによるリンクのクリックが必要です。これはOffice for Androidに存在する脆弱性であり、攻撃者は、不正なリンク、アプリケーション、ファイルなどの偽装を介した悪用が可能となります。
今月のDoS攻撃関連では、脆弱性3件への対応が実施されました。Windowsセキュアチャネルやインターネットキー交換(IKE)拡張機能に関する修正パッチについては追加情報は提供されていません。ただし、これらの脆弱性が悪用された場合、認証プロセスに支障が生じる可能性があります。また、Excelに存在するDoS攻撃関連の脆弱性は少し特殊なようです。通常、OfficeアプリのDoS攻撃関連の脆弱性は、作成されたファイルを開くときにアプリがクラッシュすることが多いのですが、今回の脆弱性はそのケースではなく、悪用されると、不正なファイルの開封によってシステム上のリソースが枯渇するという被害が発生します。この枯渇が最終的に解消されるか、再起動が必要になるかは、今回の説明からははっきりしていません。
最後に、Dynamics 365に存在するクロスサイトスクリプティング(XSS)関連の脆弱性5件についても言及しておきます。偶然ですが、先月の修正対応でもXSS関連の脆弱性5件が報告されていました。
今月は新しいアドバイザリはリリースされませんでした。最新のサービススタック更新は、改訂版のADV990001で確認できます。
次回のセキュリティアップデート
次回のパッチチューズデーは、4月11日となります。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。ぜひご参照ください。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年3月発表の全リスト
2023年3月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE MARCH 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)