エクスプロイト&脆弱性
2023年10月 セキュリティアップデート解説:Microsoft社は105件、Adobe社は13件の脆弱性に対応
Microsoft社が「パッチチューズデー」を開始してから20年が経過しました。ただし同社のマーケティング部門は「アップデートパッチチューズデー」との名称を好んでいました(「パッチ」という言葉の使用には抵抗があったようです)。そして多くの企業や組織がこの毎月のアップデート情報を活用するようになり、今やMicrosoft社やAdobe社からの最新セキュリティ情報のリリースは不可欠となっています。
Microsoft社が「パッチチューズデー」を開始してから20年が経過しました。ただし同社のマーケティング部門は「アップデートパッチチューズデー」の名称を好んでいました(「パッチ」という言葉の使用には抵抗があったようです)。そして多くの企業や組織がこの毎月のアップデート情報を活用するようになり、今やMicrosoft社やAdobe社からの最新セキュリティ情報のリリースは不可欠となっています。それでは今月も最新セキュリティ情報の詳細を見ていきましょう。本稿の内容についてはこちらの動画(英語)からも視聴いただけます。
2023年10月Adobe社からのセキュリティアップデート
2023年10月、Adobe社はAdobe Photoshop、Bridge、Adobe Commerceに存在する脆弱性13件に対応するため、3件のセキュリティアップデートを公開しました。これら13件の脆弱性は、いずれもZDI(Zero Day Initiative)プログラムを通じて報告されました。Commerce向けの修正対応が最も大規模であり、「緊急」および「重要」に分類された合計10件の脆弱性への修正が実施されました。中でも特に深刻な脆弱性は、悪用されると、SQLインジェクションにより任意のコードが実行される可能性があります。Photoshop向けのアップデートでは、コード実行関連の脆弱性1件が修正されています。攻撃者がこの脆弱性を悪用するには、ユーザが特別に作成されたファイルをPhotoshopで開く必要があります。また、Adobe Bridge向けのアップデートでは、ZDIのリサーチャーMat Powell氏が発見し、「重要」に分類された脆弱性2件への修正が実施されました。
Adobe社が今回修正した脆弱性の中には、公表時点で既に一般に知られているものや、攻撃に悪用されているものは含まれていませんでした。同社は、これらのアップデートを展開の優先度ランク3に分類しています。
2023年10月Microsoft社からのセキュリティアップデート
2023年10月、Microsoft社は、Microsoft Windows、Windowsコンポーネント、Exchangeサーバ、OfficeおよびOfficeコンポーネント、ASP.NET Core、Visual Studio、Azure、Microsoft Dynamics、そして現在も利用されているSkype for Businessに存在する脆弱性など、合計103件に対処するアップデートをリリースしました。これらの脆弱性の中には、ZDIプログラムを通じて報告されたものが3件含まれています。そして他にもまだ多くの脆弱性が対応待ちとなっています。これらの新たな脆弱性に加え、サードパーティ関連の脆弱性が1件、Chromium関連の脆弱性1件を合わせて合計105件となっています。
今日リリースされたセキュリティパッチの中で、13件が「緊急」、90件が「重要」に分類されています。これにより、この10月のリリースが2023年で2番目に多いものとなりました。その主な理由は、Message Queuingへの多数の修正対応が影響しています(詳細は後述)。このため、件数としてはあと127件で2022年の総数に達することとなり、2023年は、同社史上最も忙しい年の1つとなる可能性があります。
なお、今回対応された脆弱性の中には、セキュリティアップデートのリリース時点で公開されているものや、攻撃に悪用されていたものが2件確認されました。また、攻撃に悪用された脆弱性としてはサードパーティの1件も挙げられます。以下、今月のアップデートで特に注目すべきいくつかの点について、攻撃に悪用された脆弱性から詳しく見ていきましょう。
主要な脆弱性
CVE-2023-36563 - Microsoft WordPadの情報漏えい関連の脆弱性
この脆弱性は、今回のパッチチューズデーで、現在攻撃に悪用されていることが明記された2件の中の1件です。悪用されると、NTLMハッシュが漏えいされる可能性があります。Microsoft社は、プレビューパネルを利用した攻撃経路について言及していないため、悪用に際しては、ユーザによる操作などの介入が必要とされるようです。この修正パッチを適用することに加え、Windows 11の場合は、このOSで使用可能となったSMBを通じたNTLMの外部への通信をブロックする機能を検討すべきでしょう。この新機能はまだあまり注目されていないものの、NTLMリレー攻撃を大きく阻止する効果があります。
CVE-2023-41763 - Skype for Businessの特権昇格に関する脆弱性
この脆弱性も、現在攻撃に悪用されており、今回のパッチチューズデーで明記された特権昇格だけでなく情報漏えい関連の脆弱性としての側面も特筆されます。悪用されると、攻撃者は、影響を受けたSkype for Businessサーバへ不正な通話を実施し、サーバが任意のアドレスへのHTTPリクエストを解析することになります。これにより、攻撃者に内部ネットワークへの不正アクセスを許可する機密情報が漏えいするリスクがあります。
CVE-2023-35349 - Microsoft Message Queuingのリモートコード実行に関する脆弱性
今回リリースされたMessage Queuingに関する20件の修正対応の中で、この脆弱性は、最も高いCVSSスコア(9.8)となっています。悪用されると、未認証のリモート攻撃者がユーザの介入なしにサービスレベルで任意のコードを実行する可能性があり、これにより、この脆弱性を悪用したワーム活動も可能となっています(ただし、Message Queuingが有効になっているシステムに限定)。Message Queuingがシステムにインストールされているか確認し、またセキュリティ対策としてTCPポート1801のブロックを検討することが必要です。
CVE-2023-36434 - Windows IISサーバの特権昇格に関する脆弱性
この脆弱性はMicrosoft社により「重要」と分類されていますが、CVSSスコアは9.8と高くなっています。悪用に成功した攻撃者は、影響を受けたIISサーバに他のユーザとしてログインすることが可能となります。なお、悪用に際しては、ブルートフォース攻撃が必要なため、Microsoft社はこれを「緊急」には分類していないものの、今やブルートフォース攻撃は容易に自動化できます。IISを使用している場合は、「緊急」のアップデートと見なし、速やかに修正パッチを適用することを推奨します。
その他の脆弱性
まず、脆弱性CVE-2023-44487が特筆されます。この脆弱性は、2023年8月にGoogleのシステムへの攻撃で悪用されたことが報告されました。詳細な分析も提供されており、要約すると、攻撃者は、この脆弱性を悪用することで、HTTP/2のレイヤー7ストリームキャンセル機能を駆使し、Googleのサービスに対してDoS攻撃を引き起こすことができます。この問題は、多数のサービスに共通しており、今回のMicrosoft社からの修正対応は、この攻撃の影響を受けたMicrosoft製品を対象にしたものです。
前述のとおり、今回のアップデートの約20%は、脆弱性悪用により、さまざまなリモートコード実行やDoS攻撃が可能となるMessage Queuingサービスに関連するものです。ただし前述の脆弱性と異なり、その他のリモートコード実行の脆弱性は、悪用に際して、影響を受けたシステムでのリンククリックといったユーザの介入が必要となっています。一方、DoS攻撃関連の脆弱性の場合は、ユーザの介入を必要としません。Microsoft社は、攻撃が成功した場合にサービスが停止するのか、それともシステム全体がクラッシュするのかを具体的には述べていません。また、DoS攻撃が終了した後でシステムが自動的に回復するかどうかも明らかにしていません。今年に入ってから多くのMessage Queuingの脆弱性が修正されているため、今回の修正対応を契機に、企業のシステムにおける脆弱性のチェックとリスク評価の実施を推奨します。
さらに、今月もExchangeに関する別の脆弱性への修正が実施されています。この脆弱性が悪用されると、同一LAN上の認証済み攻撃者がPowerShellリモート接続を通じてコードを実行することが可能となります。Exchangeの脆弱性への対応は、8月、9月と続いており、企業や組織におけるExchangeへの継続的な対応が不可欠と言えます。
「緊急」と分類された他の修正対応に注目してみましょう。レイヤー2トンネリングプロトコルに関する9件の脆弱性は、悪用されると、すべてリモートコード実行に繋がる可能性があります。この場合、未認証の攻撃者がリモートから不正なパケットを対象のサーバに送信し、任意のコードを実行することができます。この攻撃はレースコンディションを悪用するもので、Microsoft社はリスクを低いと評価しています。しかし、これは深刻な不具合と見なすべきです。その他、Virtual Trusted Platform Moduleへの修正対応により、脆弱性が悪用されてコンテナからの脱出を阻止することができます。
その他のリモートコード実行関連の修正対応を見ると、いくつか特筆されるものがあります。前述した現在攻撃に悪用されているものと同様、Skype for Business向けにも、追加の修正対応があります。また、不正なSQLサーバへの接続に関連する脆弱性への修正対応もあります。MSHTMLおよびPrintHTMLに存在する脆弱性は、悪用に際してファイルを開封するなどユーザの操作を必要とし、基本的に開いて即所有される(open-and-own)手法による攻撃です。また、Azure Identity SDKでは、整数オーバーフローの結果として生じる脆弱性2件への修正対応があり、悪用されると、攻撃者は、特権昇格により任意のコードを実行することが可能となります。
特権昇格関連では、約30件の脆弱性への修正対応が実施され、そのほとんどは攻撃者が影響を受けたシステム上で特別に作成されたプログラムを実行する必要があります。大半の場合、これは管理者権限の取得またはSYSTEMレベルでのコード実行につながりますが、例外もあります。Azure DevOpsサーバにおける特権昇格の脆弱性は、悪用されると、影響を受けたアプリケーションのユーザの秘密情報が漏えいする可能性があり、この意味では、情報漏えいの脆弱性とも言えます。Azure HDInsight Apache Oozieワークフロースケジューラにおける脆弱性は、「Oozie」という親しみやすい名称とは裏腹に、悪用されると、攻撃者がクラスタの管理権限を獲得することが可能となります。Azure Network Watcherに存在する脆弱性も特筆されます。Microsoft社によると、「この脆弱性が悪用されると、攻撃者はパケットキャプチャを自分の管理下に転送し、被害者のトラブルシューティングや診断能力を制限するファイル削除を実行できる」とのことです。手法としてはなかなか洗練されています。また、Office Click-to-Runの脆弱性は、悪用されると、攻撃者に管理者権限の取得が許可される可能性があります。Windows Runtime C++ テンプレートライブラリの脆弱性は、悪用されると、攻撃者が任意のファイルを削除することが可能となります。この脆弱性悪用が特権昇格につながる点は、Simon Zuckerbraun氏のブログ(英語)で説明されている通りです。
セキュリティ機能のバイパス関連の脆弱性は、少数となっています。カーネルにおける脆弱性は、悪用されると、任意のコードガード保護機能を回避することが可能となります。これは他の脆弱性悪用と合わせて使用する際に重宝すると言えます。Mark-of-the-Web(MotW)の脆弱性は、悪用されると、攻撃者側でのMotW検出の回避が可能となります。特にSearchの脆弱性では、悪用されると、攻撃者は影響を受けたシステムにMotW設定のないファイルを配置することが可能となります。
情報漏えい関連では、攻撃に悪用されているものを含めて12件の脆弱性への修正対応が実施されました。これらの大半は通常、特定されていないメモリ内容の情報漏えいにとどまりますが、中には「機密情報」を流出させるものもいくつかあります。また、ランダムなメモリ漏えいではない珍しいカーネル関連の情報漏えいの脆弱性も確認され、この脆弱性が悪用される場合、リソースID、SASトークン、ユーザープロパティ、その他の機密情報などのデバイス情報が漏えいすることがあります。TCP/IPスタックに関する脆弱性では、悪用されると、攻撃者がサーバ上の他のセッションのIPsecパケットの暗号化されていない内容を閲覧することが可能となります。
DoS攻撃関連では、約12件の脆弱性への修正対応が実施されました。しかし、Microsoft社は、これらの脆弱性について多くの情報を提供していません。DoS攻撃関連の脆弱性では、影響を受けたのが単に特定のコンポーネントだけなのか、システム全体に及んでいるのかを知ることも重要となります。テストを優先的に実施する場合は、企業や組織にとって最も大きな影響を及ぼす可能性があるTCP/IPおよびDHCPの脆弱性に注目することを推奨します。
最後にMicrosoft Dynamics 365におけるクロスサイトスクリプティング(XSS)関連の脆弱性1件にも修正対応が実施されました。
今月新たにリリースされたアドバイザリーはありません。
次回のセキュリティアップデート
次のパッチチューズデーは11月14日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年10月発表の全リスト
2023年10月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE OCTOBER 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)