エクスプロイト&脆弱性
2024年1月 セキュリティアップデート解説:Microsoft社は53件、Adobe社は6件の脆弱性に対応
2024年最初のパッチチューズデーとなります。Microsoft社とAdobe社が最新のセキュリティパッチをリリースしました。2024年1月も、これらの詳細を確認してみましょう。以下の動画からも概要(英語)をご覧いただけます。
2024年最初のパッチチューズデーとなります。Microsoft社とAdobe社が最新のセキュリティパッチをリリースしました。2024年1月も、これらの詳細を確認してみましょう。以下の動画からも概要(英語)をご覧いただけます。
2024年1月Adobe社からのセキュリティアップデート
2024年1月のAdobe社は、Substance 3D Stagerにおける脆弱性6件を対象とした修正パッチ1件をリリースしました。これら6件の脆弱性は全て「高」の深刻度に分類されており、中でも最も深刻なものは任意のコード実行に関する脆弱性でした。
今回修正された脆弱性のうち、周知されていたものや攻撃に悪用されていたものはありませんでした。Adobe社は、これらのアップデートを展開の優先度3に分類しています。
2024年1月Microsoft社からのセキュリティアップデート
2024年1月、Microsoft社は、Microsoft WindowsとWindowsコンポーネント、OfficeとOfficeコンポーネント、Azure、.NET FrameworkとVisual Studio、SQL Server、Windows Hyper-V、Internet Explorerに存在する脆弱性を対象とした49件の新たな修正パッチをリリースしました。これらの新たな脆弱性にに加えて、複数のChromium関連の脆弱性への修正対応も含まれており、総数は53件となっています。
今回リリースされた新たな修正パッチのうち、対象となる脆弱性の深刻度が「緊急」のものが2件、「重要」のものが47件であり、偶然にも2019年1月と2020年1月と同じ件数となっています。
今回リリースされた脆弱性のうち、周知されているものや攻撃に悪用されているものはありませんでした。これらのアップデートの中から、興味深い修正対応として、Kerberosに存在するセキュリティ機能バイパス関連の脆弱性から見ていきましょう。
主要な脆弱性
CVE-2024-20674 - Windows Kerberosに存在するセキュリティ機能バイパス関連の脆弱性
この脆弱性は、今回最も高いCVSS評価であり、深刻度「緊急」に分類された修正パッチの2件のうちの1件となっています。この脆弱性が悪用されると、未認証攻撃者がKerberosサーバをなりすましの手口で侵害する中間者(MITM)攻撃が可能となります。これにより、被害を受けるクライアントは、Kerberosの認証サーバから正規のメッセージを受信したと誤認します。この攻撃を仕掛けるにはある程度の設定を施すことが必要ですが、Microsoft社は、この脆弱性に対して悪用の容易度を示す指数として最も高い(1)を付与しており、公開された悪用コードが30日以内に登場することが予測されています。この脆弱性への更新プログラムのテストおよび展開を速やかに行う必要があります。
CVE-2024-20700 - Windows Hyper-Vに存在するリモートコード実行関連の脆弱性
この脆弱性への対応が、「緊急」に分類されたもう1件の修正パッチです。ここでいう「リモート」とは、実際にはネットワーク隣接を意味しています。Microsoft社は、これ以上の説明はしておらず、コード実行がどのように発生するのかは不明となっています。ただし、悪用に際して認証やユーザ操作が不要である点は言及しており、悪用コードの作成者にとって非常に魅力的な脆弱性と言えます。また、攻撃を成功させるには、タイミングによる処理の競合を利用する「レースコンディション」も必要であり、これは、Pwn2Ownの優勝者たちが悪用コードを利用する際に何度も使用してきた手法でもあります。
CVE-2024-0056 - Microsoft.Data.SqlClient および System.Data.SqlClient SQLのデータプロバイダに存在するセキュリティ機能バイパス関連の脆弱性
冗長な名称の脆弱性ですが、このセキュリティ機能バイパス関連の脆弱性が悪用されると、MITM攻撃者が対象のクライアントとサーバ間のTLSトラフィックを解読、読み取り、変更することが可能となります。これらのデータプロバイダを使用している場合は、完全なセキュリティ対策を実施するためには追加のステップが必要になります。この脆弱性に完全に対処する際に必要な追加のNuGetパッケージが公開文書にリストアップされています。そして管理者が該当するシステムを保護するために必要なステップについて、さらなる情報を提供する記事へのリンクが示されています。
その他の脆弱性
他のリモートコード実行関連の脆弱性を見ると、そのほとんどは悪用の際に「開封させて乗っ取る」タイプのものであり、攻撃者はユーザに不正なファイルを開かせたり、特別に細工されたサイトを閲覧させたりすることで、任意のコード実行をさせる必要があります。そしてその中でも注目すべき修正対応がいくつか確認されました。1つ目は、FBXファイルを通じたOfficeに存在するリモートコード実行の脆弱性です。Microsoft社は、この脆弱性悪用に該当するファイルタイプがOfficeドキュメントに埋め込れることを禁止するという異例の措置を取っています。ただしこの場合でも「埋め込む時に<ファイルへのリンク>オプションが選択されなかった場合、以前にFBXファイルから埋め込まれたOfficeドキュメントの3Dモデルはそのまま機能し続ける」とも述べています。この変更に関する追加の詳細はこちらから確認できます。また、Printer Metadata Troubleshooterに存在する脆弱性への対処については、Microsoft社によると、KB5034510にリストされているツールをすでにインストールしていれば修正の必要ない可能性がありますが、いずれにもしても問題が完全に解決されることを確認するために更新を適用することを推奨します。リモートデスクトップ(RDP)に存在するリモートコード実行の脆弱性では、対象がクライアント側であり、サーバ側ではないため、悪用される可能性は非常に少ないと言えます。Azureに存在するリモートコード実行関連の脆弱性のうちの1件は、特定の権限がある場合にのみ悪用されます。SharePointに存在する脆弱性を悪用する際には、攻撃者側での認証が必要ですが、認証によりSharePointサイト側に入ればシステムの乗っ取る権限が取得できます。ODBCに存在する脆弱性は、悪用に際しては、不正なデータベースに接続する必要があります。Libarchiveに存在する脆弱性は、悪用される場合、攻撃者がターゲットシステムのゲストユーザとして認証されている必要があります。OCSPにもリモートコード関連の脆弱性が確認されており、この脆弱性を悪用するには、通常は特権ユーザに割り当てられる「オンラインレスポンダーの管理」権限がある認証ユーザが必要となりますが、それでも、この権限を持つユーザを確認するためにドメインの監査を行うことを推奨します。
この月のリリースには、特権昇格(EoP)のパッチが10件しか含まれておらず、そのうちの1件を除いて、影響を受けたシステムで特別に細工されたプログラムを実行する攻撃者が必要で、SYSTEMレベルでのコード実行につながります。この種のバグは通常、システムの乗っ取りに使用するため、一般的にはコード実行のバグと組み合わせて使用されます。唯一の例外はVirtual Hard Diskのバグで、カーネルで「.vhdx」ファイルを処理している際に権限昇格を許可する可能性があります。
情報漏えい関連では11件の脆弱性が確認されていますが、そのほとんどは、漏えい対象がはっきりしないメモリ内容の情報漏えいとなっています。ただし、その中で注目すべき例外が2件あり、1件目はLocal Security Authority Subsystem Service(LSASS)に存在する脆弱性であり、悪用されると、対象となるクライアントがADドメインコントローラに接続した際、攻撃者によりネットワークの機密情報が取得される可能性があります。Microsoft社によると、この脆弱性悪用は、ネットワーク上のトラフィックをスニッフィングするか、不正なスクリプトを実行することで可能となるようです。この脆弱性悪用は、攻撃ではあまり見られないと予想されますが、初期侵入後の水平移動・内部活動には有効な手口となり得るでしょう。TCP/IPに存在する脆弱性では、悪用に際しては、MITM攻撃を行うことが必要となり、攻撃が成功すると、サーバ上の他のセッションからIPsecパケットの暗号化されていない内容が暴露される可能性があります。
セキュリティ機能バイパス関連の脆弱性は、上述された2件に加えて、さらに5件の修正対応がリリースされています。.NET FrameworkおよびVisual Studioに存在する脆弱性では、悪用されると、X.509証明書への不適切な検証が許可される可能性があります。これはWindows Server Key Distribution Serviceに存在する脆弱性とも類似しています。Hypervisor-Protected Code Integrity(HVCI)に存在する脆弱性は、特定のMicrosoft Surfaceデバイスに固有のものであり、悪用されると、HVCIが有効になっている場合でも、特定のカーネルモードページにおいて、読み取り、書き込み、実行(RWX)のマークが誤って許可される可能性があります。また、BitLockerに存在する脆弱性では、悪用されると、攻撃者がBitLockerの保護機能を回避することが可能となります。Internet Explorerに存在する脆弱性は、完全に無かったと思われていましたが、今回も存在が確認され、この脆弱性が悪用されると、ゾーン制限の回避が可能となります。
DoS攻撃関連では、脆弱性6件への修正対応が実施されました。Microsoft社は、これらについては詳しい情報を提供していません。その中でも、Hyper-Vに存在する脆弱性は、悪用されると、ゲストOSが同じハイパーバイザー上の他のゲストOSに何らかの影響を与えることが可能となるようです。
なりすまし関連では、脆弱性4件への修正対応が実施されました。Nearby Sharingに存在する脆弱性は、悪用されると、なりすましの手口により、類似した名称のマシンを駆使する攻撃者によって攻撃が引き起こされる可能性があります。この場合、マシンの名称がどの程度まで「類似」できるのかは、興味深い調整対象と言えます。Azure Stackに存在する脆弱性では、悪用に際しては、特別に細工されたURLをクリックする必要があります。Themesに存在する脆弱性も、悪用に際してユーザの介入が必要ですが、Microsoft社は、緩和策としてNTLMの無効化が可能であることを強調しています。NTLMの利用者であれば、リモートサーバへ発信されるNTLMトラフィックを制限するグループポリシーを追加することも対策となるでしょう。Bluetoothに存在する脆弱性では、悪用に際しては、攻撃者がターゲットに近接している必要があり、このためにはペアリングされたBluetoothデバイスが必要となります。
今月、新しいアドバイザリーはリリースされませんでした。
次回のセキュリティアップデート
次のパッチチューズデーは2024年2月13日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年1月発表の全リスト
2024年1月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE JANUARY 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)