エクスプロイト&脆弱性
2023年7月 セキュリティアップデート解説:Microsoft社は130件、Adobe社は15件、Apple社は1件の脆弱性に対応
2023年7月の第2火曜日にAdobe社およびMicrosoft社から最新のセキュリティアップデートがリリースされました。本稿では、これらの最新アップデートの詳細を確認します。
2023年7月の第2火曜日にAdobe社およびMicrosoft社から最新のセキュリティアップデートがリリースされました。本稿では、これらの最新アップデートの詳細を確認します。動画によるまとめをご覧になりたい場合は、こちらからご視聴いただけます。
2023年7月Apple社からのセキュリティアップデート
Apple社からのセキュリティアップデートは、通常、パッチチューズデイのスケジュールには従わないものの、2023年7月10日、macOS、iOS、およびiPadOSに関して緊急の修正パッチがリリースされました。これはWebKitの脆弱性に対処するものでCVE-2023-34750として識別され、攻撃にも悪用されていると報告しています。Apple社では、これらの修正パッチをRapid Security Response(RSR)として言及し、攻撃による悪用が検出された最も重要なコンポーネントと位置づけています。さらに、この脆弱性により特定のWebサイトの表示に問題が発生しているとも述べています。近い将来、この製品自体へのアップデートも実施されるでしょう。また、他のmacOSバージョンについてもこの脆弱性への修正が近々行われると予想されます。
2023年7月 Adobe社からのセキュリティアップデート
2023年7月、Adobe社はAdobe InDesignとColdFusionに関連する15件の脆弱性に対処する修正パッチ2件をリリースしました。ColdFusion用の修正パッチは、CVSS 9.8のリモートコード実行の脆弱性に対応しており、深刻度は「重要」とされています。このリリースでは、ColdFusion Lockdownに関するガイドの読み込み(および実装)が推奨されており、該当する場合は最新のLTSリリースのJDK 17へColdFusion JDK/JREを更新することも推奨されています。InDesignへの修正対応では、深刻度「緊急」と分類された1件の脆弱性と「重要」とされた11件の脆弱性が修正されました。これらの中で最も深刻な脆弱性は、悪用されると、ユーザが特別に細工されたファイルを開くことでリモートコード実行が可能となります。
Adobe社が修正したこれらの脆弱性は、周知されておらず、リリース時点では攻撃に悪用されていませんでした。Adobe社はこれらのアップデートを適用の優先度3として分類しています。
2023年7月 Microsoft社からのセキュリティアップデート
今月、Microsoft社は130件の新しい修正パッチをリリースし、Microsoft WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、.NETおよびVisual Studio、Azure Active DirectoryおよびDevOps、Microsoft Dynamics、プリンタードライバ、DNSサーバ、さらにリモートデスクトップに関連する脆弱性が修正されました。これらの脆弱性のうち1件は、ZDIプログラムを通じて報告されました。ZDIの報告予定ページをチェックすると、まだ対応待ちの脆弱性があることが分かります。
今回の新しい修正パッチのうち、9件が「緊急」、121件が「重要」に分類されています。これは過去数年で最も多い数と言えます。一方、Microsoft社がBlack Hat USAカンファレンスの直前に多数の修正パッチをリリースすることは珍しくありません。8月のリリースはBlack Hatのブリーフィング前日に行われる予定ですが、次回のリリースも多数の修正パッチがリリースされるかは興味深いポイントです。
今回リリースされた脆弱性のうち1件は周知されたもので、5件はリリース時に攻撃に悪用されていました。以下、今月のセキュリティアップデートの中でも、攻撃に悪用されているものなど、主要な脆弱性について詳しく見ていきましょう。
主要な脆弱性
CVE-2023-36884 – OfficeおよびWindowsのHTMLリモートコード実行の脆弱性
今回修正対象となっている5件の脆弱性の中でもおそらく最も深刻なものです。Microsoft社は、特別に改変されたOffice文書を利用し、脆弱性が存在するシステム上でリモートコード実行を行う標的型攻撃の存在を認識しています。現時点で注目すべきは「標的型」の攻撃という点にあり、同社は、修正パッチがない段階でこの脆弱性を公表するという異例の措置を取っています。修正パッチは将来的にリリースされる予定となっています。同社の脅威インテリジェンスチームは、この問題に関するいくつかのガイダンスを提供するブログ記事を公開しています。この脆弱性の深刻度は「重要」に分類されていますが、「緊急」として扱うことを強く推奨します。
CVE-2023-35311 - Microsoft Outlookセキュリティ機能バイパスの脆弱性
この脆弱性もすでに攻撃に悪用されています。Microsoft社は、この脆弱性の悪用による攻撃の拡大については公表していません。この脆弱性を悪用すると、Outlookのセキュリティ通知ダイアログのリンクをクリックした後にセキュリティ機能がバイパスされることになります。この脆弱性は、ファイルを開いた際にコードが実行される別の脆弱性と組み合わされている可能性があります。通常、Outlookは警告のダイアログを表示するはずですが、この脆弱性の悪用により、そうしたユーザ向けのプロンプトが回避されてしまいます。Outlookの広範な利用を考慮すると、この修正パッチのテストと適用は優先的に実行しておく必要があります。
CVE-2023-36874 - Windowsエラーレポートサービス特権昇格の脆弱性
この脆弱性も攻撃に悪用されていますが、システム上のすべてのユーザに影響するわけではありません。この脆弱性を悪用して、管理者権限を昇格させるためには、対象システム上でフォルダとパフォーマンストレースを作成する権限を持つユーザアカウントへのアクセスが必要です。標準のユーザアカウントは、デフォルトではこれらの権限は備わっていません。特権昇格の脆弱性悪用は、多くの場合、リモートコード実行の脆弱性悪用と組み合わされてマルウェアの拡散を容易にします。この脆弱性もそうしたリスクをはらんでいます。
CVE-2023-32046 - Windows MSHTMLプラットフォーム特権昇格の脆弱性
この脆弱性は、報告によると、単純な特権昇格ではないようです。脆弱性が悪用されると、SYSTEMの特権が付与されるのではなく、脆弱性のあるアプリケーションを実行しているユーザのレベルが昇格されるだけのようです。ただし、多くのアプリケーションは、昇格されたユーザレベルで実行される機能があるため、被害の詳細については議論の余地があります。いずれにしても、この脆弱性を悪用するには、ユーザがリンクをクリックしたりファイルを開く必要がありますので、不審な添付ファイルやメッセージには注意が必要です。
CVE-2023-32049 - Windows SmartScreenセキュリティ機能バイパスの脆弱性
この脆弱性は、SmartScreenフィルターに存在しています。Outlookのセキュリティ機能バイパス関連の脆弱性と同様に、この脆弱性を悪用すると、攻撃者は警告ダイアログを回避することができます。悪用に際してはユーザがリンクをクリックしたり他のアクションを実行したりする必要があります。また、この脆弱性を利用したシステムの乗っ取りやマルウェアのインストールが実行される場合、他の脆弱性と組み合わされる可能性があります。
CVE-2023-32057 - Microsoft Message Queuingリモートコード実行の脆弱性
この脆弱性は、CVSSスコアが最も高い(9.8)というだけでなく、2023年4月に修正パッチが適用されたはずの脆弱性の「再発」として報告されています。報告も同じリサーチャーによるものです。これは修正が失敗した典型的なケースと言えます。この脆弱性を悪用することで、未認証のリモート攻撃者は、脆弱性のあるシステム上でメッセージキューイングサービスが有効になっている場合に、特権を得た状態でコード実行の許可を得ることができます。対策としては、TCP 1801番ポートをブロックすることが考えられますが、より良い選択肢は迅速に更新と脆弱性テストを行い、修正パッチを適用することです。また、今回の修正措置が前回よりも高い品質であることを期待するのみです。
その他の脆弱性
その他の「緊急」に分類された修正対応を見ると、Routing and Remote Access Service(RRAS)に存在する3件の脆弱性が特筆されます。これらの脆弱性はすべてCVSSレベルが9.8であり、未認証のリモート攻撃者が特別に細工されたパケットを送信するだけで、サービスレベルでのコード実行が可能となります。これらの脆弱性が悪用されると、RRASが有効になっているシステム間でのワーム活動も可能となりますが、これはデフォルトでは有効になっていません。また、SharePointサーバ向けの修正対応は2件存在しており、いずれも脆弱性悪用には、認証が必要ですが、通常のSharePointユーザのデフォルト認証レベルで十分となっています。Layer-2 Bridge Network Driverに存在する脆弱性は、ゲストからホストへのコード実行を可能にします。この場合、ゲストの仮想マシン上の誰かが基礎となるホストOS上でのコード実行が可能となります。PGMに存在する脆弱性では、悪用に際してはネットワーク隣接が要件となり、仮想マシン上で悪用される可能性があります。リモートデスクトップ(RDP)のセキュリティ機能バイパス(SFB)関連の脆弱性では、攻撃者が証明書またはプライベートキーの認証をバイパスすることでRDPセッションを確立する際に悪用が可能となります。RDPがランサムウェア攻撃グループによく狙われる点を考慮すると、この脆弱性も彼らに悪用される可能性が高いと言えます。
その他の24件のリモートコード実行関連の脆弱性を見ると、多くの脆弱性は、悪用されるとオープンアンドオウンの攻撃手法によりOfficeおよびWindowsのコンポーネントの掌握が可能となります。また、プリンタードライバの脆弱性であるPrintNightmareなど、過去の問題が再び現れているケースもあります。さらに前述の脆弱性と同様、SharePointのリモートコード実行に関する脆弱性も挙げられます。これらも悪用には認証が必要です。また、2000年代初頭に発生したRPC(Remote Procedure Call)の脆弱性を思い起こさせるRPC関連の脆弱性も報告されています。別のメッセージキューイングの脆弱性への修正パッチもありますが、これに関しては修正パッチ失敗の兆候は確認されていません。Outlookにおけるリモートコード実行関連の脆弱性も報告されていますが、この場合、プレビューペインは攻撃経路とはなっていません。DNSサーバには4件の脆弱性があり、それらはすべて特権昇格が必要となっています。Active Directory Certificate Services(AD CS)にも2件の脆弱性が存在し、これらも悪用されるには、デフォルトでドメイン管理者に制限されている証明書機関(CA)の読み取りアクセス許可が必要となります。管理者の認証情報を対象とした脆弱性としては、Online Certificate Status Protocol (OCSP) SnapInに存在するものが報告されています。この場合は、悪用に際して管理者の認証情報を侵害することが必要となります。Microsoft社がこの問題に対してセキュリティ上の修正パッチが必要であると判断したことは興味深いと言えます。Windows Deployment Servicesに存在する脆弱性では、ユーザの介入は必要ありませんが、認証は条件となっています。Network Load Balancingに存在する脆弱性では、未認証の攻撃者がリモートコード実行を行使できますが、その際、ネットワーク隣接が必要となります。
特権昇格(EoP)関連の脆弱性については、ほとんどの場合、悪用に際して、脆弱性が存在するシステム上で特別に細工されたプログラムを実行する必要があります。これにより、攻撃者はシステムレベルでのコード実行が可能となります。このケースでは、カーネルおよびWin32kの脆弱性への修正対応11件が含まれています。なお、Active Template Libraries(ATL)の脆弱性への修正については、MS09-035関連の事例およびこの脆弱性が存在する多くのアプリケーションを筆者も実際に分析してみました。.NETおよびVisual Studioに存在する特権昇格の脆弱性では、悪用により、このアプリケーションを実行しているユーザの権限を昇格させることが可能となります。このケースは、Volume Shadow Copyに存在する脆弱性にも当てはまります。また、volsnap.sysに存在する脆弱性では、悪用により管理者権限の昇格が可能になります。この場合に昇格される権限はSYSTEMとはわずかに異なるようです。最後に挙げる特権昇格関連の脆弱性は、Officeに存在するもので、悪用されると、ローカルクライアントに制限されたRPCの呼び出しが可能となります。
上述の2件の他、さらに9件のセキュリティ機能バイパス(SFB)関連の脆弱性対応が報告されています。中でもActive Directory Federation Serviceに存在する脆弱性は特筆に値します。この脆弱性が悪用されると、攻撃者がアサーションを作成し、それを使用して他のデバイスからPrimary Refresh Tokenを要求することでTPM(Trusted Platform Module)をバイパスすることが可能となります。これは、Azure Active Directoryに存在する脆弱性の悪用と同じ仕組みとなっています。Officeに存在するセキュリティ機能バイパス関連の脆弱性では、悪用することで、Application Guard for Officeが有効でない限り、攻撃者はOffice Protected Viewを回避することが可能となります。SharePointに存在するセキュリティ機能バイパスの脆弱性では、悪用により、ダウンロードされたファイルのログをバイパスすることが可能となります。Remote Desktopにはセキュリティ機能バイパス関連の脆弱性が2件挙げられます。1件目の脆弱性では、悪用することで中間者(MitM)攻撃により、攻撃対象のユーザが信頼しているサーバに接続する際の証明書の検証をバイパスすることが可能となります。もう1件の脆弱性でも、MitM攻撃が必要であり、この場合も、攻撃対象のユーザが信頼しているサーバに接続する際、データの機密性や完全性が危険にさらされる可能性があります。MSHTMLにも脆弱性が2件存在しています。1件目の脆弱性では、悪用することで、Mark of the Web(MotW)のバイパスが可能となります。もう1件の脆弱性では、悪用により、比較的制限の少ないインターネットセキュリティゾーンでのURLへのアクセスが可能となります。ASP.NETに存在するセキュリティ機能バイパスの脆弱性に関しては追加情報は提供されていません。
情報漏えい関連では、合計18件の脆弱性対応が報告されています。幸い、これらのほとんどは、指定されていないメモリ内容から成る情報漏えいに限定されています。ただし例外が1つあり、NetLoginに存在する脆弱性では、悪用されると、攻撃者がクライアントとサーバーシステム間のトラフィックを傍受し、潜在的に変更することも可能となります。なお、この際、攻撃者はトラフィックを監視できること(つまり、Man-in-the-Middle攻撃を実行できること)が条件となります。
Denial-of-Service(DoS)攻撃関連では、22件の脆弱性への修正対応が報告されています。これらの脆弱性のうち、12件はRPCランタイムライブラリに存在しています。Microsoft社は、これらの脆弱性に関する詳細は「悪用に際して認証が必要である」ということ以外は報じていません。同じ要件は、Windows Authentication and Deployment Servicesの脆弱性悪用でも適用されます。その他のDoS関連の脆弱性では、悪用に際して認証を必要としないものの、それ以外の詳細は報告されていません。唯一、HTTP.sysに存在する脆弱性1件は例外的に詳細が示されています。この場合、脆弱性が悪用されると、未認証の攻撃者は、Server Name Indication(SNI)を利用した作成済みのメッセージを対象のシステムに送信することが可能となるようです。
なりすまし関連では、6件の脆弱性が報告されており、特にOutlookのものが特筆されます。この脆弱性を悪用するには、対象となるユーザがリンクをクリックする必要があります。これにより、NetNTLMv2ハッシュ値の開示が可能となります。別の興味深い脆弱性としては、悪用に際して低い権限でのユーザ介入を必要とするMono Authenticode Validationの脆弱性が挙げられます。ただし、Microsoft社は、この攻撃の具体的な方法については詳細を提供していません。その他のなりすまし関連の脆弱性は、すべてユーザの介在が必要となります。SharePointに存在するなります関連の脆弱性は、クロスサイトスクリプティング(XSS)関連の脆弱性と酷似しています。Power Appsに存在する脆弱性は、悪用されると、クッキーの取得やユーザに対する偽のダイアログボックスの表示に使用される可能性があります。Windows Admin Centerに存在する脆弱性は、悪用に際してユーザの介在が必要ですが、最終的にはリモートコード実行にもつながる可能性があります。これらの脆弱性に対処するには、こちらからWindows Admin Centerの最新ビルドを手動でインストールする必要があります。
クロスサイトスクリプティング(XSS)関連では、Microsoft Dynamics 365に2件の脆弱性が存在しています。
今月のリリースでは、2件の新たなアドバイザリも含まれており、これらは2023年の最初のアドバイザリとなります。最初のアドバイザリでは、Microsoftが署名したドライバが悪用される問題に対処するためのガイダンスが提供されています。この問題は少なくとも2022年12月から知られていたものであり、何らかの対策が出された点は心強いといえます。このアドバイザリの更新では、脆弱性の影響を受けるファイルの証明書が無効化されます。もう1つのアドバイザリでは、Trend Micro EFIモジュールのセキュリティ機能バイパスに関するガイダンスが提供されます。この詳細については2023年5月にこちら(英語)でも詳細を記しています。
次回のセキュリティアップデート
次のパッチチューズデーは8月8日になります。その時に詳細および修正パッチの分析をお伝えいたします。また、8月にはBlack Hatカンファレンスが実施され、筆者も会場のラスベガスから記事を更新する予定です。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年7月発表の全リスト
2023年7月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE JULY 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)