エクスプロイト&脆弱性
2023年12月 セキュリティアップデート解説:Microsoft社は42件、Adobe社は212件、Apple社は8件の脆弱性に対応
2023年最後のパッチチューズデーとなり、Apple社、Adobe社、Microsoft社が最新のセキュリティアップデートを発表しましたので、アドバイザリーの詳細を確認しましょう。
2023年最後のパッチチューズデーとなり、Apple社、Adobe社、Microsoft社が最新のセキュリティアップデートを発表しましたので、アドバイザリーの詳細を確認しましょう。また、動画(英語)からも概要を視聴できます。
2023年12月Apple社からのセキュリティアップデート
Apple社は12月のリリースサイクルにおいてiOSおよびiPadOSの脆弱性8件への修正対応を実施しました。これらの脆弱性の中で、WebKitに関連する2件は、iOSのバージョン16.7.1以前で悪用事例が報告されています。古いiPhoneやiPadをご使用の方は、デバイスを直ちにアップデートすることを推奨します。iOS17以降を搭載したデバイスをご使用の場合も、可能であればアップデートを行うべきでしょう。
2023年12月Adobe社からのセキュリティアップデート
2023年12月、Adobe社は、Adobe Prelude、Illustrator、InDesign、Dimension、Experience Manager、Substance3D Stager、Substance3D Sampler、Substance3D After Effects、Substance3D Designerにおいて、合計212件の脆弱性に対処する9件の修正パッチをリリースしました。この中の10件は、ZDIプログラムを通じて報告されました。これらのうち186件は、Experience Managerに存在し、全て深刻度が「重要」に分類されるクロスサイトスクリプティング(XSS)関連の脆弱性です。この点で今月の脆弱件数はかなり偏りがある印象を受けます。その他、リモートコード実行関連で「緊急」に分類されたAfter Effectsの脆弱性への対応が特筆されます。IllustratorおよびSubstance 3D Samplerの脆弱性も「緊急」に分類されており、こちらも悪用されるとリモートコード実行が可能となります。
その他の修正パッチは「重要」もしくは「中」に分類された脆弱性に対処するものとなっています。InDesignの脆弱性への修正パッチは、DoS攻撃および情報漏えいの悪用に対処するもので、Dimensionへの修正パッチでは、ZDIのMat Powell氏に報告されたメモリリーク関連の脆弱性4件に対処するものです。Substance 3D Stagerへの修正パッチは、2種類の範囲外読み取り関連の脆弱性に対処しており、Substance 3D Designerへの修正パッチは、深刻度が「緊急」の範囲外書き込み関連の脆弱性1件、範囲外読み取り関連の脆弱性3件に対処しています。その他、Preludeへの修正パッチでもメモリリーク関連の脆弱性に対処しています。
今月修正された脆弱性の中でリリース時点で周知されていたものや攻撃に悪用されていたものはありませんでした。Adobe社は、これらのアップデートを展開の優先度3に分類しています。
2023年12月Microsoft社からのセキュリティアップデート
2023年12月、Microsoft社は、WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Azure、Microsoft Edge(Chromiumベース)、Windows Defender、Windows DNSおよびDHCPサーバ、Microsoft Dynamicに関する脆弱性33件に対処する修正パッチをリリースしました。その他、Chromium関連の脆弱性も含まれており、対処した脆弱性の総数は42件となっています。
今回リリースされた新たな修正パッチのうち、4件が「緊急」、29件が「重要」に分類されています。例年12月のリリースは小規模になる傾向があり、今回も例外ではありません。特に今月は、2017年12月以来最も小規模なリリースとなっています。それでも、2024年全体では、900件を超える脆弱性が対処され、2023年は、Microsoft社の修正パッチリリースとしては最も忙しい年の1つといえます。
今回対応された脆弱性の中で周知されていたものやリリース時点で攻撃に悪用されていたものはありませんでした。以下、主要な脆弱性のいくつか見ていきましょう。まずは、MSHTMLエンジン関連として影響力のある脆弱性から確認してみましょう。
主要な脆弱性
CVE-2023-35628 – Windows MSHTMLプラットフォームにおけるリモートコード実行の脆弱性
この脆弱性が悪用されると、特別に作成されたメールを対象に送信するだけで、リモートの未承認の攻撃者が対象となるシステム上で任意のコードを実行することが可能となります。通常、プレビューパネルが攻撃経路となるケースが多いのですが、この脆弱性悪用の場合は異なります。リモートコード実行は、Outlookがメールを取得して処理する際に発生します。これはプレビューパネルよりも前の段階です。ランサムウェア攻撃グループがこの脆弱性を悪用できるツールの作成を試みる点は確実と言えるでしょう。ただし、悪用に際しては、メモリ形成技術が必要となることから、その際にいくつかの問題に直面するため、簡単には悪用されない可能性もあります。
CVE-2023-36019 – Microsoft Power Platform コネクタにおけるなりすましの脆弱性
この脆弱性は、今月の最も高いCVSS評価である9.6となっており、なりすましの脆弱性というよりはリモートコード実行の脆弱性のように振る舞うと言っても良いでしょう。この脆弱性は、Webサーバ上に存在していますが、影響を受けるシステムが特別に作成されたリンクをクリックすると、不正なスクリプトがクライアントのブラウザで実行されることで悪用が可能となります。Microsoft社は、この脆弱性について、Microsoft 365 Admin Centerを通じて影響を受けるユーザに通知しています。Microsoft 365 Admin Centerをご利用の場合は、詳細について通知をご確認ください。
CVE-2023-35636 – Microsoft Outlookにおける情報漏えいの脆弱性
このOutlookにおける脆弱性は、プレビューパネルの攻撃経路となることはありませんが、悪用された場合、NTLMハッシュ値の漏えいの可能性があります。これらのハッシュ値は、他のユーザに偽装し、企業内でさらなるアクセスを得るために使用することができます。Microsoft社は、2023年初め、同様の脆弱性を情報漏洩関連ではなく、特権昇格の脆弱性に分類していました。いずれにしても、分類方法に関係なく、攻撃者は、こうしたタイプの脆弱性の悪用を好み、頻繁に利用する傾向があるため、注意が必要です。
その他の脆弱性
その他に「緊急」に分類された注目すべき脆弱性は2件あり、いずれもインターネット接続共有(ICS)サービスに関連しています。このサービスはデフォルトでは有効化されておらず、滅多に使われることはありませんが、使用している場合には、ネットワークに隣接している攻撃者が特別に作られたパケットを対象となるサーバに送信した際、リモートコード実行が可能となります。
その他のリモートコード実行に関連する脆弱性としては、まず2件が不正なSQLサーバへの接続を必要とし、これによりリモートでのコード実行が可能となります。さらに他の2件のリモートコード実行関連では、USBHUBの脆弱性が挙げられます。この脆弱性は、Microsoft社がリモートコード実行に分類しているにもかかわらず、物理的なアクセスが必要となっています。この場合、特別に作成されたUSBドライバを接続することでコード実行が可能となるようです。その他、Bluetoothドライバにおける脆弱性も、攻撃者が物理的に近くにいる必要がありますが、この場合、攻撃者がラジオ通信を送受信するだけで悪用が可能となります。
特権昇格の脆弱性は10件あり、そのうち2件を除く全て、悪用に際して攻撃者が対象システム上で特別に作成されたプログラムを実行することで、SYSTEMレベルでのリモートコード実行が可能となります。なお、テレフォニーサーバにおける脆弱性では「NT AUTHORITY\Network Service」レベルでコードが実行されるという点で若干異なっています。Azure Connected Machine Agentにおける脆弱性では、悪用に際していくつかの前提条件が必要となり、その主なものは、シンボリックリンクを作成できる権限を持つ非管理者のローカルユーザの存在です。この脆弱性を悪用する攻撃者は、このシンボリックリンクを追加することで、SYSTEM権限で任意のファイルを削除する可能性となります。
情報漏えい関連の脆弱性は、その大部分は、特定されていないメモリ内容の漏えい関連のものにとどまっています。ただし、Azure Machine Learning Compute Instanceにおける情報漏えい関連の脆弱性は、悪用されると、ユーザアカウントに関連したAzure Machine Learning(ML)のトレーニングデータを漏えいさせるという点で例外的なケースとなっています。また、Microsoft Wordにおける情報漏えい関連の脆弱性では、悪用されると、攻撃者がファイルシステムからデータを読み取ることが可能となります。
なりすまし関連の脆弱性では、3件に対して修正が実施されました。Outlook for Macにおける脆弱性では、悪用されると、ユーザが署名された電子メールのメッセージを誤って正規ユーザのものと信じさせる手口が可能となります。Windows DPAPIの脆弱性の場合は、ドメインコントローラとターゲットの間で中間者攻撃(MitM)が必要となります。ただしMicrosoft社は、この件に関して、攻撃者が通信を傍受する正しい位置にいる場合に可能ななりすまし手口のさらなる詳細については言及していません。その他、Windows DNSサーバにおけるなりすまし関連も詳細は提供されていませんが、DNSの重要性を考えると、この修正対応は無視すべきではないでしょう。
DoS攻撃関連の脆弱性は5件あり、そのうちの4件についてMicrosoft社からは追加の詳細は提供されていません。また、WindowsカーネルにおけるDoS攻撃関連の脆弱性では、悪用されると、認証済のユーザが特別に作成されたファイルを開くか、または対象のシステム上のネットワーク共有でそのファイルにアクセスすることで、対象のOSをクラッシュさせることが可能となります。
最後にクロスサイトスクリプティング(XSS)関連では、Dynamics 365における脆弱性1件への修正対応が実施されています。
今月、新たなアドバイザリはリリースされていませんでした。
次回のセキュリティアップデート
次のパッチチューズデーは2024年1月9日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年12月発表の全リスト
2023年12月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE DECEMBER 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)