エクスプロイト&脆弱性
2023年9月 セキュリティアップデート解説:Microsoft社は65件、Adobe社は5件、Apple社は2件の脆弱性に対応の他、Cisco社はアドバイザリをリリース
2023年9月のパッチチューズデーを解説します。今回は、Apple社、Cisco社、Adobe社、Microsoft社から新しい脆弱性情報が報告されました。また、この夏はゼロデイ脆弱性が注目された時期でもありました。それぞれの最新情報を確認しましょう。
2023年9月のパッチチューズデーを解説します。今回は、Apple社、Cisco社、Adobe社、Microsoft社から新しい脆弱性情報が報告されました。また、この夏はゼロデイ脆弱性が注目された時期でもありました。それぞれの最新情報を確認しましょう。本稿の内容についてはこちらの動画(英語)からも視聴いただけます。
2023年9月Apple社からのセキュリティアップデート
Apple社は2023年9月の修正パッチをリリースし、macOS Ventura、iPad、iOS、watchOSに存在する脆弱性2件に対応しました。これらの中には、攻撃での悪用に対処するための脆弱性も存在しています。Image I/Oにおけるバッファオーバーフローの脆弱性はCVE-2023-41064として採番されています。CVE-2023-41061は、不正な添付ファイルによる悪用が確認されています。セキュリティ機関Citizen Labのリサーチャーからの報告によれば、これらの脆弱性は、イスラエルのソフトウェア企業NSO Groupが開発したスパイウェアPegasusの展開にも悪用されたようです。今回の修正は、古い端末にも適用されているため、最新のiOSを利用していないユーザも今回のアップデートを受けることができます。この点からもApple社製デバイスの更新を怠らないようにすることです。
2023年9月Cisco社からのアドバイザリ
こちらでは「アドバイザリ」という言葉を「パッチ」の代わりに使用しています。この選択は単なる言い回しの違いではありません。9月6日、Cisco社はアドバイザリを発表し、同社のソフトウェアCisco ASAおよびFirepower FTDのリモートアクセスVPNにおける脆弱性の悪用について注意喚起を実施しました。この脆弱性は、CVE-2023-20269として採番されており、ランサムウェア攻撃グループが標的のネットワークにアクセスする手段として悪用しているようです。同社は、まだこの脆弱性への修正パッチを提供していませんが、一時的な緩和策を提示しています。これらの製品を使用しているユーザは、正式な修正パッチがリリースされるまで、緩和策を適用することを推奨します。緩和策は一時的なものであることを念頭に置き、正式な修正パッチが利用可能になった際には速やかに適用してください。
2023年9月Adobe社からのセキュリティアップデート
2023年9月、Adobe社は、Adobe Acrobat、Reader、Experience Manager、Adobe Connectに関連する脆弱性5件に対して3件のアップデートを公開しました。ゼロデイ脆弱性で話題になっているとおり、特筆すべきは、AcrobatとReaderの修正対応に関して、攻撃での悪用が確認されている点です。この場合、特定の方法で作成されたPDFを開くことで、対象となるシステム上で不正なコードの実行が可能になります。このため、この修正パッチは優先して適用すべきです。また、Experience ManagerとConnectのそれぞれの修正パッチがクロスサイトスクリプティング(XSS)関連の脆弱性2件ずつを対象としている点も興味深い偶然といえます。
Adobe社は、Readerへの修正パッチを展開の優先度1として分類しており、これは現在も攻撃に悪用されているための判断です。その他の2件の修正パッチは、周知されておらず、攻撃での悪用も確認されていないとのことです。Adobe社はこれらのアップデートを展開の優先度3に分類しています。
2023年9月Microsoft社からのセキュリティアップデート
2023年9月、Microsoft社は、Windows、Windows Components、Exchange Server、Office、Office Components、.NET、Visual Studio、Azure、Microsoft Dynamics、Windows Defenderに関する脆弱性59件に対して修正パッチをリリースしました。これらの脆弱性の中で15件(25.4%)がZDIプログラムを通じて報告されており、さらに多くの報告がなされる予定です。これらの脆弱性に加え、サードパーティからの脆弱性2件およびChromium関連の脆弱性4を含め、合計で65件となっています。
今回公開された新しい修正対応のうち、5件が「緊急」、55件が「重要」、1件が「警告」として分類されています。9月のリリースとしては、例年よりもやや少ない件数ですが、2023年の累計から見ると、同社は、2022年に公開した件数とほぼ同じペースで更新を行っています。
今回修正対応された脆弱性の中の2件は、公開の時点で悪用が確認されており、また1件はすでに周知されているものでした。以下、悪用されたものを含め、今回のアップデートの中で特に注目すべきものを詳しく見ていきましょう。
主要な脆弱性
CVE-2023-36761 - Microsoft Wordの情報漏えいに関する脆弱性
この脆弱性は、現在攻撃で悪用されています。ただし筆者はこれを完全に情報漏えい関連の脆弱性と呼ぶべきかどうかの判断は保留にしています。攻撃者がこの脆弱性を悪用すると、NTLMハッシュを開示することが可能となり、NTLMリレー型の攻撃に使われる恐れがあります。こういった攻撃の場合、通常は、なりすまし関連の脆弱性と認識されるべきでしょう(後述するExchange関連の脆弱性もご参照ください)。いずれにしても、この脆弱性悪用では、プレビューペインが攻撃経路となり、ユーザの介在が不要となっています。テストと適用に関して最優先項目として扱ってください。
CVE-2023-29332 - Microsoft Azure Kubernetes Serviceの特権昇格に関する脆弱性
Azure Kubernetes Serviceにおける脆弱性は「緊急」に分類されており、悪用されると、リモートかつ未認証の攻撃者へクラスター管理権限の取得が許可される可能性があります。以前も同様の脆弱性が確認されましたが、今回の脆弱性は、インターネットからのアクセスが可能で、ユーザの介在も不要であり、さらに複雑性が低いという特徴があります。Microsoft社はこれに「Exploitation Less Likely(悪用される可能性は低い)」という評価を与えていますが、リモートかつ未認証での攻撃が可能である点を考慮すると、攻撃者にとって魅力的な脆弱性であるといえます。
CVE-2023-38148 - インターネット接続共有(ICS)のリモートコード実行に関する脆弱性
「緊急」に分類されたこの脆弱性は、CVSS 8.8という高いスコアを示していますが、悪用に際しては一定の状況もあるようです。この脆弱性は、ネットワークに隣接した攻撃者のみが悪用可能であり、さらに、攻撃が成功するためには、ICSが有効である必要もあります。現在、多くの環境でICSは必要とされておらず、デフォルトでは有効化されていないのですが、ICSを利用している場所は、未認証の攻撃者が対象のシステムでコードを実行できるリスクが存在しています。
CVE-2023-38146 - Windowsテーマのリモートコード実行に関する脆弱性
この脆弱性は、今回修正された中で最も深刻というわけではありませんが、懐かしさを想起させるという点では言及する価値があるでしょう。悪用されると、特別に作成されたテーマファイルをユーザに開かせることで、コード実行が可能となります。20年以上前のスクリーンセーバーの脆弱性を彷彿させる点で興味深く、この古典的な脆弱性を発見してくれたPwn2Ownの優勝者、Thijs Alkemade氏とDaan Keuper氏(Computest Sector 7所属)に感謝します。
その他の脆弱性
2023年9月に「緊急」に分類されたその他の脆弱性に触れる前に、同じく今回修正対応されたExchange関連の脆弱性について説明します。Exchange関連は、先月大きな修正対応がなされたばかりなのですが、今月も新たなアップデートが出ています。今回は、Exchange関連の脆弱性5件に対する修正対応であり、そのすべてがZDIのリサーチャーPiotr Bazydło氏によって報告されました。同氏は最近、Exchange関連の調査に注力しており、さまざまなアップデートやサイレントの修正対応が回避されている状況を確認しています。特に懸念されるのはNTLMリレーに関する脆弱性であり、これはなりすましに関連する脆弱性として認識されています。この脆弱性は先月修正されたかのように思えますが、公式にはまだ記載されていませんでした。さらにこの脆弱性の他、リモートコード実行に関する脆弱性3件は、悪用に際して攻撃者の認証が必要となっていますが、先月もこれらの修正対応で認証が回避されてしまう問題が確認されていました。その他、Exchangeの脆弱性への新たな修正対応としては「ファイル内容」の情報漏えいに対処するものがありますが、この場合、漏えい対象がランダムなファイルか、攻撃者が特定するファイルなのかといった詳細は確定していないようです。なお、これらの修正パッチを適用するには、2023年8月のアップデートのインストールが前提となりますので、これをスキップした場合、今回の修正対応も完全でない点は留意が必要であり、今週末にExchangeの再起動を行う管理者は、ご注意ください。
その他の「緊急」に分類された修正対応は、Visual Studio向けのものであり、これらの脆弱性は、open-and-ownのタイプであり、悪用に際しては、特定バージョンのVisual Studio上でユーザが不正なパッケージファイルを開くことで任意のコードが実行される可能性があります。
その他のリモートコード実行に関する脆弱性15件の多くは、「緊急」に分類された上述のVisual Studio関連の脆弱性と同じopen-and-ownタイプの悪用シナリオとなります。特に注目すべきは、「緊急」の同深刻度と判断できる悪用シナリオでありながら「重要」に分類されたVisual Studioの脆弱性2件です。これらが「重要」に分類されている詳しい理由は明記されていません。3D Viewer Remoteでは、リモートコード実行関連の脆弱性6件が修正対応されており、そのうち4件は、ZDIリサーチャーのMat Powell氏による報告です。これらの脆弱性も、シンプルなopen-and-ownタイプのもので、製品の更新はアプリストア経由で実施されます。ストアの自動更新がオフになっているか、接続が切断されている場合は、手動で更新が必要となります。Wordにおけるリモートコード実行の脆弱性では、プレビューペインが感染経路となるものがあり、この場合、ユーザが添付プレビューをクリックすることで悪用が可能となります。また、ZDIから報告されたスクリプトエンジン(Trident/EdgeHTML)の脆弱性では、悪用されると、特定の状況下で画像内におけるデータがスクリプト実行を引き起こす可能性があります。攻撃者は、この脆弱性を悪用してコード実行を行うことができます。Miracast向けの修正対応では、悪用されると、限定的な条件下で攻撃者が対象のシステムへの接続が可能となります。Microsoft社では、この脆弱性を特定のネットワークやデバイスへの近接が条件となる「Adjacent」に分類していますが、この場合のニュアンスは物理的な攻撃の可能性に近いと考えられます。Azure DevOpsの脆弱性も、リモートコード実行に分類されていますが、特権昇格の可能性もあります。悪用されると、攻撃者は、特定のAzure DevOpsパイプラインの権限を利用してコードを挿入することが可能となるからです。これをリモートコード実行か、特権昇格であるかは、実際の修正パッチ適用の際にも見極めておく必要があるでしょう。
その他の特権昇格の脆弱性に言及する前に、いくつかの重大なDoS攻撃関連の脆弱性への対応について説明する必要があります。中でも、TCP/IP関連の脆弱性は特筆されるべきで、悪用されると、リモートで未認証の攻撃者が特定のIPv6パケットを送信することでシステムをダウンさせることが可能となります。IPv6はデフォルトでは有効となっているため、特に未修正のシステムには注意が必要です。一時的な解決策として、Microsoft社は、IPv6におけるルータ発見の機能を無効にすることを推奨しています。他にも、DHCPサーバ、.NET、Visual StudioにもDoS関連の脆弱性が確認されており、これらにも注意が必要です。
次に特権昇格に関する脆弱性では、その大多数は、悪用に際して、攻撃者が対象のシステム上で特別に設計されたプログラムを実行する必要があります。これは、脆弱性CVE-2023-36802にも該当しており、この脆弱性は、現在攻撃に悪用されているものとして確認されています。多くの場合、悪用の結果、管理者権限の取得や、SYSTEMレベルでのコード実行が可能になります。実際、今回修正された特権昇格の脆弱性は、以前に触れたAzure Kubernetes関連のものを除けば、すべてがこの条件下で悪用されるものとなっています。
セキュリティ機能バイパス関連では、脆弱性2件への修正対応が報告されています。1件目は、Windows Defender Attack Surface Reductionのブロック機能に関連しています。この脆弱性が悪用されると、攻撃者は、このブロック機能を回避することが可能となります。これは、この機能自体の主要な役割を果たせなくなるという点で深刻なリスクといえます。2件目の修正対応は、Officeに関連する脆弱性であり、悪用されると、危険な拡張機能がアップロード・ダウンロードされる際のセキュリティ機能がバイパスされます。上述のOffice関連の脆弱性と同様、プレビューペインが攻撃経路として使われる可能性があります。ただしこの場合、ユーザが添付ファイルのプレビューをクリックするという動作の介在が必要となります。
情報漏えい関連では、脆弱性8件の修正対応が報告されています。その大部分は、特定されていないメモリ内容の情報漏えいだけですが、2件について特筆すべき例外があります。1件目は、Outlookに関する脆弱性で、悪用されると、認証情報が窃取される可能性があります。ただしこの場合、プレビューペインは攻撃経路とはなっていないようです。もう1件目は、Microsoft Identity Linux Brokerに存在する脆弱性です。この場合、悪用されると、対象となるアプリケーションの情報が漏えいする可能性がありますが、保存された情報の暗号化は維持されたままとなります。
なりすましに関連して「警告」に分類された脆弱性も1件報告されています。この場合、Officeコンポーネントに影響し、悪用されると、未認証の攻撃者による文書へ追記が可能となり、部分的な署名が加筆されることで文書の認証チェックを通過してしまう可能性があります。
クロスサイトスクリプティング(XSS)では、脆弱性3件が報告されています。そのうち1件は、Dynamics Finance and Operations、残り2件は、オンプレミス版のMicrosoft Dynamics 365に存在する脆弱性です。
今月、新しいアドバイザリはリリースされていません。
次回のセキュリティアップデート
次のパッチチューズデーは10月10日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年9月発表の全リスト
2023年9月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE SEPTEMBER 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)