エクスプロイト&脆弱性
2023年11月 セキュリティアップデート解説:Microsoft社は78件、Adobe社は76件の脆弱性に対応
2023年の最後から二番目の月のパッチチューズデーとなり、Microsoft社とAdobe社から最新のセキュリティパッチがリリースされました。それでは最新のアドバイザリーの詳細について見ていきましょう。
2023年の最後から二番目の月のパッチチューズデーとなり、Microsoft社とAdobe社から最新のセキュリティパッチがリリースされました。それでは最新のアドバイザリーの詳細について見ていきましょう。こちらの動画(英語)からも概要を視聴できます。
2023年11月Adobe社からのセキュリティアップデート
2023年11月、Adobe社は、Adobe AcrobatおよびReader、ColdFusion、Audition、Premiere Pro、After Effects、Media Encoder、Dimension、Animate、InCopy、InDesign、RoboHelp、FrameMaker Publishing Server、Bridge、Photoshopに関する脆弱性76件に対処する14の情報公開を行いました。これらの脆弱性の中で54件はZDI(Zero Day Initiative)プログラムを通じて報告され、その大部分はZDIの脆弱性リサーチャーMat Powell氏によるものです。AcrobatおよびReader向けの修正パッチが最も大規模となっており、17件の脆弱性を修正しており、これらの脆弱性は、フィッシング攻撃キャンペーンで悪用される可能生があるため、特に重要と言えます。ColdFusion向けのアップデートでは、緊急に分類された脆弱性3件がが含まれており、こららの修正は、テストおよび展開リストの中でも優先的に扱うべきです。Audition向けのアップデートも、脆弱性9件に対処しており、大きな規模となっています。After Effectsへの修正がこれに続き、脆弱性8件に対処されています。
Photoshopへのアップデートも優先的に適用すべきです。この場合、6件の修正対応が含まれており、これらの脆弱性が悪用されると、特別に作成されたファイルを開いた際にコード実行が可能となるリスクがあります。Premiere Proへのアップデートも同様です。これらのアプリケーションは、Media Encoderにも依存しており、ここでも5件の修正対応が提供されています。InDesignへのアップデートでは、脆弱性7件が対象となっていますが、最も深刻なものは「重要」に分類されています。RoboHelpへのアップデートでは、脆弱性5件が対象となっており、そのうち4件が「緊急」に分類されています。このツールを使って技術コンテンツを作成している場合は、速やかにテストして修正パッチを適用することが推奨されます。Adobe Bridgeへのアップデートでは、「中」に分類された脆弱性3件が対象となっています。InCopyとFrameMaker Publishing Serverへのアップデートでは、「緊急」に分類された脆弱性1件ずつが対象となっています。DimensionとAnimateへのアップデートでは、「重要」に分類された脆弱性1件ずつが対象となっています。
Adobeが今月修正した脆弱性の中でリリース時に周知されているものや攻撃に悪用されているものは含まれていません。Adobe社はこれらのアップデートを展開優先度3に分類しています。
2023年11月Microsoft社からのセキュリティアップデート
2023年11月、Microsoft社は、Microsoft WindowsとWindowsコンポーネント、Exchange Server、OfficeとOfficeコンポーネント、ASP.NETと.NET Framework、Azure、Mariner、Microsoft Edge(Chromiumベース)、Visual Studio、Windows Hyper-Vに関連する脆弱性に対処する63件の新たな修正パッチをリリースしました。これらの脆弱性の中で5件はZDIプログラムを通じて報告されました。新規の脆弱性に加え、複数のChromium関連の脆弱性や他の外部から報告された脆弱性も対象となり、対処された脆弱性の総数は78件に達しています。
今回リリースされたあら修正パッチのうち、3件が「緊急」に分類され、56件が「重要」、4件が「中」の深刻度に分類されています。これは、Microsoft社が2023年に実施した月次リリースの中で最も小規模なものの1つですが、2023年のここまでの総脆弱性数は2021年の全体数に達しており、まだ1か月が残っている中、12月にどの程度の規模の修正パッチがリリースされるかが注目されます。
今回リリースされた脆弱性のうち3件が攻撃での悪用が報告され、さらに3件の脆弱性が周知されており、「ゼロデイの夏」は秋になっても続いているようです。以下、攻撃に悪用されているものをはじめ、特に注目すべき脆弱性対応を見ていきましょう。
主要な脆弱性
CVE-2023-36033 - Windows DWMコアライブラリに関する特権昇格の脆弱性
この脆弱性は、悪用されると、Windowsデスクトップマネージャー(DWM)を介した権限昇格が可能となり、すでに攻撃での悪用が報告されています。Microsoft社は、現時点での攻撃の広がりについて詳細を提供していませんが、このタイプの脆弱性悪用は、通常、小さな発生から大規模化する傾向にあります。この脆弱性を悪用する攻撃者は、SYSTEM権限を得る可能性があるため、コード実行の脆弱性との組み合わせでシステムが侵害される場合があります。
CVE-2023-36036 - Windowsクラウドファイルミニフィルタードライバに関する特権昇格の脆弱性
こちらも攻撃に悪用されている特権昇格関連の脆弱性であり、DWMの脆弱性と同様、悪用されると、SYSTEM権限の取得が可能となります。このドライバは、クラウドに保存されたファイルの管理と操作に使用され、ほとんどのWindowsバージョンでデフォルトで読み込まれるため、攻撃対象が広範囲となってしまいます。この脆弱性も、コード実行の脆弱性との組み合わせで使用される可能性が高いと言えます。今回のアップデートにより、速やかにテストして適用することが推奨されます。
CVE-2023-36025 - Windowsスマートスクリーンセキュリティ機能のバイパスに関する脆弱性
こちらも攻撃での悪用が報告されている脆弱性ですが、特権昇格ではなくセキュリティ機能のバイパスに関するものです。この脆弱性を悪用する攻撃では、Windows Defender SmartScreenのチェックやその他の警告を回避するできるため、SmartScreenによってブロックされる脆弱性悪用との組み合で使用される可能性があります。フィッシング攻撃キャンペーンにおいて、この脆弱性が悪用され、不正なドキュメントの開封を阻止または警告するユーザープロンプトを回避していると考えられます。
CVE-2023-36397 - Windowsプラグマティックジェネラルマルチキャスト(PGM)のリモートコード実行に関する脆弱性
CVSSスコア9.8として、今月最も高い深刻度に分類されている脆弱性です。この脆弱性が悪用されると、リモートからの認証されていない攻撃者がユーザーの介入なしに特権を持つコードを実行できる危険性があります。ただしこの問題は、WindowsメッセージキューイングサービスがPGMサーバ環境で動作しているシステムに限られます。これに該当するシステムは多くありませんが、該当する場合は速やかにテストし、アップデートを適用することが重要です。
その他の脆弱性
次に今回「緊急」に分類された脆弱性2件について説明します。1件目は、Azure コマンドラインインターフェース(CLI)における情報漏えい関連の脆弱性です。情報漏えいの脆弱性が「緊急」に分類されることは珍しいのですが、このケースではログファイルから平文のパスワードやユーザ名が漏れる可能性があるため、この分類は妥当と言えます。2件目は、Windows のハッシュベースのメッセージ認証コード(HMAC)における特権昇格に関する脆弱性であり、悪用されると、Hyper-V のゲストユーザが基盤となるホストOS上でコードが実行される可能性があります。幸い、この攻撃はローカルでのみ実行可能です。ただし、ゲスト1人がホストを掌握すれば、そのサーバ上の他のゲストOSに対していかなるコードも実行可能となります。
その他のリモートコード実行に関する脆弱性の中で特に注目すべきは、Exchange Serverへの修正対応でしょう。唯一の救いは、この脆弱性の悪用に際して、攻撃者はネットワークに隣接して認証されている必要があるという点のみです。なお、この脆弱性の悪用から保護されるためには、単に修正パッチをインストールするだけでは不十分であり、完全に保護されるには、こちらに記載されているインストール後の手順に従い、シリアライズデータ署名機能を有効にする必要があります。さらに他のリモートコード実行関連の脆弱性は、Officeやその他のWindowsコンポーネントにおける一般的なものとなっています。Azure DevOpsの脆弱性では、悪用に際して、攻撃者が認証されている必要があるため、特権昇格の脆弱性のような特徴も備えているとも言えます。レジストリサービス、DFS、SharePointの脆弱性も同様の特徴を備えています。Host Integration ServerとWDACの脆弱性は、悪用に際して不正なデータベースに接続する必要があります。Protected Extensible Authentication Protocol(PEAP)の脆弱性は、PGMの脆弱性とほぼ同じ程度の問題と言えますが、悪用に際しては非デフォルトの設定が必要となります。PEAPは、最近あまり使用されていませんが、レガシーエンタープライズを運用している場合、今回の修正パッチを見逃すべきではないでしょう。
特権昇格の脆弱性に関しては、攻撃者が影響を受けたシステム上で特別に作成されたプログラムを実行する必要があることが多い傾向にあります。この脆弱性悪用は、通常、管理者権限の取得やシステムレベルでのコード実行といった攻撃につながります。Hyper-Vの脆弱性もこのケースに当てはまりますが、これらの脆弱性悪用がいずれもゲストOSから実行されるかどうかは明らかにされていません。
今月、なりすまし関連の脆弱性もいくつか対処されていますが、特に注目されているものはExchangeの複数の脆弱性です。これらはZDIの脆弱性リサーチャーPiotr Bazydlo氏によって報告されたNTLMリレーの脆弱性です。また過去の修正対応の不備に起因する脆弱性(CVE-2023-36035)も報告されています。これらなりすまし関連の脆弱性は、悪用に際して、攻撃者側での認証が必要ですが、内部協力者がNTLM認証情報を共有し、さらなるアクセス取得の攻撃にされる可能性があります。Dynamics 365の脆弱性2件は、いずれもWebサーバに存在するものであり、悪用されると、被害者のブラウザで不正なスクリプトが実行される可能性があります。Visual Studioのなりすまし関連の脆弱性は、特権昇格のような特徴も備えており、悪用されると攻撃者が高い権限を得る可能性があるとされています。取得される権限には、読み取り、書き込み、削除の機能が含まれます。
今月、攻撃に悪用されているものを含め、セキュリティ機能バイパス関連では、脆弱性5件に修正パッチが提供されています。ASP.NET Coreの脆弱性では、悪用されると、攻撃者は、Blazor Serverフォームによる検証をバイパスすることができます。さらにASP.NETには、悪用されると、Webサイト上の内部アプリケーションへのアクセスを防ぐように設計された特定のチェックをバイパスできる別の脆弱性も存在しています。Officeにおけるセキュリティ機能の脆弱性では、悪用されると、攻撃者がOfficeの保護ビューを回避できるようになり、Excelにおける脆弱性では、Microsoft Office Trust Centerの外部リンクチェックのバイパスが可能になります。その他のなりすまし関連の脆弱性はOn-Prem Data Gatewayに関連するものであり、悪用されると、攻撃者は証明書検証メカニズムをバイパスし、正規の署名がない任意の証明書を提供することが可能になります。
情報漏えいの脆弱性もいくつか報告されていますが、これらの大部分は特定されていないメモリ内容の漏えいに関連するものです。ただし、2件例外があり、Open Management Infrastructureの脆弱性では、悪用されると、SCOMによって監視されているマシン上のトレースログに保存されている特権アカウントの資格情報へのアクセスが可能になります。Microsoft社では、アップデート適用後に特権アカウントのパスワードをリセットすることも推奨しています。カーネルの情報漏えい関連の脆弱性では、悪用されると、通常アクセスできないはずのレジストリキーを攻撃者が閲覧できるようになります。
今月、DoS攻撃に関する脆弱性もいくつか修正対応が実施されています。特に注目すべきはDHCPサーバの脆弱性への対応です。この脆弱性が悪用されると、多くの企業に大きな混乱を引き起こす可能性があります。ただしMicrosoft社はこの脆弱性について追加情報を提供していません。また、Windows認証に関する脆弱性も、悪用されると、通常の認証プロセスを妨げて混乱を引き起こす可能性があります。その他のDoS攻撃関連の脆弱性についても、Microsoft社からは詳細な情報が提供されていません。
最後にクロスサイトスクリプティング関連の脆弱性では、Dynamics 365において脆弱性3件への対応が実施されています。なお、今月、新しいアドバイザリーはリリースされていません。
次回のセキュリティアップデート
次のパッチチューズデーは12月12日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年11月発表の全リスト
2023年11月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE NOVEMBER 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)