エクスプロイト&脆弱性
2023年8月 セキュリティアップデート解説:Microsoft社は86件、Adobe社は37件の脆弱性に対応
セキュリティイベント「Black Hat」と「DEFCON」が実施される今週は、パッチチューズデーの週でもあります。Adobe社およびMicrosoft社からの最新のセキュリティアップデートがリリースされました。それぞれの最新情報を確認しましょう。
セキュリティイベント「Black Hat」と「DEFCON」が実施される今週は、パッチチューズデーの週でもあります。Adobe社およびMicrosoft社からの最新のセキュリティアップデートがリリースされました。それぞれの最新情報を確認しましょう。本稿の内容についてはこちらの動画(英語)からも視聴いただけます。
2023年8月Adobe社からのセキュリティアップデート
2023年8月、Adobe社からは、Adobe AcrobatおよびReader、Commerce、Dimension、Adobe XMP Toolkit SDKに存在する脆弱性37件に対処する4件の修正パッチをリリースしました。これらの脆弱性のうち28件は、ZDI(Zero Day Initiative)プログラムから提供されました。中でもReaderへの更新は最も規模が大きく、30件の脆弱性への対応となっています。これらの中で最も深刻な脆弱性は、悪用されると、特別に作成されたPDFの開封時にコード実行が可能となるものです。Commerceへの更新では、CVSS 9.1に分類されたOSコマンドインジェクションの脆弱性3件への対応となっています。Dimensionへの更新も脆弱性3件への対応となっています。Readerのケースと同様、これらの脆弱性も、悪用されると、特別に作成されたファイルの開封時にコード実行が可能となります。Adobe XMP Toolkit SDKの更新ではDoS攻撃関連の脆弱性1件への対応となっています。
今月にAdobe社が修正した脆弱性の中で、周知されているか、リリース時に攻撃に悪用されていたものはありません。同社は、これらの更新を優先度3に分類しています。
2023年8月 Microsoft社からのセキュリティアップデート
2023年8月、Microsoft社は、Microsoft WindowsおよびWindowsコンポーネント、Edge(Chromiumベース)、Exchange Server、OfficeおよびOfficeコンポーネント、.NETおよびVisual Studio、ASP.NET、Azure DevOpsおよびHDInsights、Teams、Windows Defenderの脆弱性に対処する74件の修正パッチおよび2件のアドバイザリをリリースしました。これらの脆弱性のうちの3件は、ZDIプログラムを通じて報告されました。また、こちらのページにあるように、ZDIからはさらに多くの脆弱性が報告される予定となっています。Edge(Chromiumベース)用のChromiumグループからの修正対応11件およびAMDへの修正対応1件を含めると、総数は86件になります。
今回リリースされた修正対応の中で、6件が「緊急」、67件が「重要」に分類されています。これは例年8月のリリースにしては少ない方ですが、同社は他のセキュリティの問題を優先していたのかもしれません。
他方、過去数年間で見ると、決して少ない量ではなく、「Black Hat USA」などのカンファレンスの直前に同社が多数の修正パッチをリリースすることは珍しくありません。Black Hatのブリーフィング前日となる8月に同社のリリースも規模が大きくなる点は興味深いと言えます。
今月にリリースされた脆弱性の中で、リリース時点で周知されているか、攻撃に悪用されているものはありませんでした。以下、未修正のアドバイザリも含め、今月の主要な脆弱性を詳しく見てみましょう。
主要な脆弱性
ADV230003 - Microsoft Officeの多層防御機能の更新プログラム
このアドバイザリは、脆弱性CVE-2023-36884の修正を提供していないものの、関連の攻撃で現在使用されているエクスプロイトチェーンをブロックすると見られています。Microsoft社は、7月も、この脆弱性の詳細に関するアドバイザリをリリースしましたが、その際も修正パッチはありませんでした。そして現時点でも修正パッチはリリースされておらず、このような緩和策となっています。この脆弱性を修正するための完全な修正パッチが近いうちにリリースされることを願うのみです。
[更新情報] Microsoft社は、現在、CVE-2023-36844の影響を受ける製品として33種類の製品を提示しています。修正パッチがリリースされ次第、すぐに適用し、このアドバイザリを一時的な修正としてのみ考慮しておく必要があります。
CVE-2023-38181 - Microsoft Exchange Serverにおけるなりすましの脆弱性
この脆弱性は、脆弱性CVE-2023-32031の修正回避を可能にするものであり、またCVE-2023-32031自体も、脆弱性CVE-2023-21529の修正を回避するものでした。さらにまた、脆弱性CVE-2023-21529も、脆弱性CVE-2022-41082の修正を回避するものであり、この最後の脆弱性は実際に攻撃で悪用されていました。このCVE-2023-38181は、悪用の際、攻撃者の認証が必要となり、悪用に成功すると、NTLMリレー攻撃が可能となり、これによりさらに別のユーザとしての認証が可能となります。また、攻撃者が対象のサーバへPowerShellリモートセッションを取得することも可能となります。この脆弱性は、今月、Exchange関連で確認された脆弱性6件のうちの1つであり、これらの脆弱性の影響が深刻化しています。これらすべての脆弱性への更新およびテストを早急に実施してください。
CVE-2023-35385/36910/36911 - Microsoft Message Queuingにおけるリモートコード実行の脆弱性
これら3件の脆弱性はすべてCVSS 9.8に分類されており、悪用されると、匿名の攻撃者により、Message Queuingサービスレベルで影響を受けるサーバ上でのリモートコード実行が可能となります。今月、修正対応がなされたMessage Queuing関連の脆弱性は合計11件であり、セキュリティリサーチのコミュニティでもこれらの脆弱性を注視していることは明らかです。Message Queuingを狙った脆弱性悪用の攻撃はまだ検出されていませんが、いくつかの実証実験(PoC)は確認されており、実際の攻撃で悪用されるのも時間の問題と思われます。緩和策としてTCPポート1801をブロックすることが可能ですが、更新とテストを速やかに実施するべきでしょう。
CVE-2023-29328/29330 - Microsoft Teamsにおけるリモートコード実行の脆弱性
これらの脆弱性は、攻撃者が設定した不正なTeamsミーティングに対象となるユーザを参加させることで、ターゲットのシステム上でのコード実行が可能となります。Microsoft社はコードがどのレベルで実行されるかを具体的に述べていませんが、この脆弱性悪用により「被害者情報へのアクセスおよびその情報の変更能力を攻撃者が提供できるようになる」と述べており、ログオンしているユーザレベルでの悪用が可能なことを意味していると言えます。セキュリティイベント「Pwn2Own」でも同様の脆弱性悪用が示されたことがあり、これらの脆弱性への更新を怠らないことが重要です。
CVE-2023-21709 - Microsoft Exchange Serverにおける特権昇格の脆弱性
Exchangeの脆弱性についてはすでに述べていますが、この脆弱性に関しても言及すべきでしょう。この脆弱性が悪用されると、未認証の攻撃者が別のユーザとしてリモートでログインすることが可能となります。この場合、権限がない状態からサーバへの認証が可能な状態に昇格できるため、上述した認証後のExchange関連の脆弱性悪用のすべてが実行可能となります。深刻度は「重要」と分類されていますが、「緊急」と見なした上での対応を推奨します。
その他の脆弱性
今月リリースされたその他の脆弱性対応の中で唯一「緊急」に分類されたものはOutlook関連となります。この脆弱性悪用では、ユーザの介在が必要とされます。通常、このようなオープン・アンド・オウンの脆弱性の深刻度は「重要」に分類されます。例外的に「緊急」に分類されるのはプレビューペインが攻撃経路となる場合ですが、この点に関する記載は明記されていません。この脆弱性が「緊急」に分類される何らかの理由があるはずですが、Microsoft社はその点に関する詳細は開示していません。また、Mac用のOutlookを使用している場合、Mac向けの修正対応は今回のリリースに含まれておらず、さらなるアップデートを待つ必要があります。
リモートコード実行に関する他の修正対応を見ると、その多くが「重要」に分類されるOffice関連の脆弱性です。また、Exchange関連のリモートコード実行の脆弱性も追加されており、この場合、悪用に際して攻撃者は、ターゲットと同じLAN上にいる必要があるため、ネットワーク隣接が条件となります。脆弱性CVE-2023-38185も特筆すべきで、この脆弱性の悪用に際しては、攻撃者の認証が必要であるものの、ネットワークコールを介して特権昇格した上でコード実行を行うことができます。その他、悪用に際してデータベースへの接続が必要となる脆弱性も2件確認されています。特に、Microsoft SQL Server 2022 for x64-based Systems (GDR)、もしくはMicrosoft SQL Server 2019 for x64-based Systems (GDR)がインストールされている場合、脆弱性が悪用される可能性が高く、直ちに修正対応する必要があります。LDAPの脆弱性では、悪用されると、特別に作成されたLDAPコールを介して攻撃者がサービス権限でコード実行することが可能となります。その他、メールのリンクをクリックすることでDynamics 365が悪用されるリモートコード実行の脆弱性も今回修正対応されました。
特権昇格の脆弱性では、その大半が、悪用に際してシステム上で特別に作成されたプログラムを実行する必要があります。ほとんどの場合、これにより攻撃者は、SYSTEMレベルでのコード実行も可能となります。Azure Arc対応サーバの脆弱性は、LinuxおよびWindowsサーバの両方に影響する点で興味深いと言えます。この場合、悪用することで、攻撃者は、それぞれのルートもしくは管理者へと権限を昇格させることができます。Windows Defenderの脆弱性では、悪用により、攻撃者がシステム上の任意のファイルを削除することが可能となります。タスクスケジューラの脆弱性では、悪用することで、ファイルの作成と削除が可能となりますが、他方、既存のファイルの上書きはできないようです。.NET Frameworkの脆弱性は、悪用により、対象となるアプリケーションの権限のみを取得することができます。Bluetooth関連の脆弱性では、悪用されると、Bluetoothデバイスをペアリングした後にのみ、SYSTEMアクセスを取得することができます。
セキュリティ機能バイパスの脆弱性への修正対応は4件のみとなっています。その中で最も深刻なものは、Windows Smart Card Resource Management Serverの脆弱性でしょう。この脆弱性を悪用すると、攻撃者は、Fast Identity Online(FIDO)のセキュア認証機能をバイパスできる可能性があり、これにより二要素認証の機能が削除されてしまいます。HTMLプラットフォームの脆弱性は、すでに攻撃事例が確認されている別の脆弱性悪用とも類似しています。攻撃者は、この脆弱性を悪用することで、URLを誤ったセキュリティゾーンにマッピングすることができます。Edge-Chromiumの脆弱性の場合は、悪用に際して、物理的なアクセスとユーザの介在が必要であると述べられていますが、どちらも詳細は説明されていません。Group Policyの脆弱性では、悪用により、攻撃者は特定のGroup Policy設定を閲覧することが可能となりますが、変更はできないようです。
上述したExchangeにおけるなりすまし関連の脆弱性の他、今回さらに11件のなりすまし関連の脆弱性が報告されています。SharePointの脆弱性は、クロスサイトスクリプティング(XSS)関連の脆弱性のような振る舞いを示し、対応に際しては複数の修正パッチが必要となっています。これらすべて適用可能なアップデートをインストールしてください。Outlook関連の脆弱性では、悪用されると、NetNTLMv2ハッシュの開示が許可され、攻撃者が別のユーザとして認証される可能性があります。その他の修正対応に関しては情報が少ないものの、いずれも悪用に際しては、ユーザの介在が必要であると説明されています。Azure Apacheの脆弱性では、悪用されるためには(奇妙な条件ですが)管理者が不正なファイルを開く必要があると説明されています。
情報漏えい関連の脆弱性は合計10件が報告されています。幸い、これらの大半は特定されていないメモリ内容の情報漏えいに過ぎません。SharePointの脆弱性の1つは、悪用されると、「sensitive information」の名称で暗号化された情報が開示される可能性があり、これは非常に具体的な指摘と言えます。もう1つのSharePointの脆弱性では、プライベートなプロパティの値が漏えいされる可能性があります。その他、ASP.NETの脆弱性も興味深く、悪用されると、特別に作成されたグループ/ユーザ名を使用して、任意のグループやユーザのメッセージを聴くことができ、さらに閲覧権限のないグループのメッセージも受信できます。Hyper-Vの脆弱性では、悪用されると、ゲストユーザがHyper-Vホストからの情報を開示できる可能性があります。ただし、どの情報が開示されるかの詳細は示されていません。最後に、AMDのリターンアドレス予測の脆弱性への修正も今回のリリースで含まれています。
DoS攻撃関連の脆弱性では、今回8件の修正対応が報告されており、そのうち6件がMessage Queuingサービスに関連するものです。Microsoft社は、これらのいくつかの脆弱性については「対象となる端末のユーザがMessage Queuingにアクセスした場合」に悪用が可能であり、その意味でユーザ操作の介在が必要であると説明しています。ただし、ユーザはMessage Queuingを使用しているアプリケーションを知らない場合もあり、悪用可能となるDoS攻撃の状況を不用意に招いてしまう可能性もあります。ASP.NETの脆弱性2件については詳細情報は提供されていません。
もう1件の新たなアドバイザリ(ADV230004)については、Memory Integrity System Readinessスキャンツールの防御に関するアップデートとなっています。これは、ARM64およびAMD64プロセッサ用のハイパーバイザーで保護されたコード整合性(HVCI)としても知られ、メモリ整合性との互換性の問題をチェックします。さらに最新のサービススタックアップデートでは、周知されていた不具合への対処が実施されました。詳細は改訂済のADV990001から確認できます。
次回のセキュリティアップデート
次のパッチチューズデーは9月12日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年8月発表の全リスト
2023年8月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE AUGUST 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)