エクスプロイト&脆弱性
2024年2月 セキュリティアップデート解説:Microsoft社はゼロデイ攻撃が確認された脆弱性含む79件、Adobe社は29件に対応
2024年2月、Adobe社とMicrosoft社が新たなセキュリティ更新をリリースしました。ZDIの脅威ハンティングチームが発見したMicrosoftのゼロデイ脆弱性(CVE-2024-21412)にご関心がある方は、スペシャル動画(英語)をご視聴ください。関連記事も追って公開されます。
2024年2月、Adobe社とMicrosoft社が新たなセキュリティ更新をリリースしました。ZDIの脅威ハンティングチームが発見したMicrosoftのゼロデイ脆弱性(CVE-2024-21412)にご関心がある方は、以下のスペシャル動画(英語)をご視聴ください。関連記事も追って公開されます。
2024年2月のリリース内容を網羅した通常の動画(英語)は以下からご視聴いただけます。
2024年2月Adobe社からのセキュリティアップデート
2024年2月、Adobe社は、Adobe AcrobatとReader、Commerce、Substance 3D Painter、FrameMaker Publishing Server、Audition、Substance 3D Designerの脆弱性29件に対処する6件の修正パッチをリリースしました。これらの脆弱性の内4件はZDIプログラムを通じて報告されました。優先順位をつける必要がある場合は、AcrobatとReaderのアップデートから始めることを推奨します。これにより、フィッシングやランサムウェアの攻撃キャンペーンでよく悪用される深刻度が「緊急」の任意コード実行関連の脆弱性が修正されます。Commerceへの修正にも、「緊急」のコード実行関連の脆弱性複数が対処されています。コマース関連のプラットフォームへの対応であることを考えると、修正パッチの迅速な適用が不可欠です。
Substance 3D PainterとSubstance 3D Designerのアップデートは、それぞれ9件と1件の脆弱性を対象としています。最も深刻な脆弱性は、悪用されると任意のコード実行を引き起こす可能性がありますが、この場合、特別に作成されたファイルを開くか、不正なURLにアクセスするといったユーザ操作の介在が必要となります。FrameMaker Publishing Server(FrameMakerとは別物です)への修正パッチは、深刻度CVSS 9.8に分類されたセキュリティ機能バイパス関連の脆弱性に対処しています。具体的には言及されていませんが、この脆弱性が悪用されると、認証機能もしくはハードコードされた認証情報のプロセスがバイパスされる可能性があります。Adobe Auditionへの修正パッチは、悪用されると任意のコード実行につながる可能性のある単一のヒープベースのバッファオーバーフローに関する脆弱性に対処しています。
Adobe社によって今月修正された脆弱性には、リリース時点で周知されているものや攻撃に悪用れているものはありませんでした。同社は、今回のアップデートをデプロイメント優先度評価で3に分類しています。
2024年2月Microsoft社からのセキュリティアップデート
2024年2月、Microsoft社はWindowsとそのコンポーネント、Officeとそのコンポーネント、Azure、.NET FrameworkとASP.NET、SQL Server、Windows Hyper-V、Microsoft Dynamicsに関する脆弱性72件に対応する新たな修正パッチをリリースしました。その他、Chromium関連の脆弱性も複数も合わせて、総数は79件となっています。これらの脆弱性のうち2つはZDIプログラムを通じて報告され、1つは現在攻撃中のバグです。
今回リリースされた修正パッチのうち、5件が「緊急」、65件が「重要」、2件が「警告」に分類されています。これは例年2月のリリースとしては比較的標準的な修正件数であり、現時点でAdobe社とMicrosoft社からの修正数は昨年同期と比べて少ない状態となっています。この傾向が2024年を通じて続くかどうかが注目されるところです。
リリース時点で脆弱性2件が現在攻撃に悪用されていますが、これらが周知されているわけではないようです。以下、今月の注目すべきアップデートについて、ZDI脅威ハンティングチームが発見した脆弱性から詳しく見ていきましょう。
CVE-2024-21412 - インターネットショートカットファイルのセキュリティ機能バイパスの脆弱性
この脆弱性はZDIリサーチャーPeter Girnus氏とZDI脅威ハンティングチームによって発見されました。本稿では技術的な詳細に深入りしません。詳細はこちらの記事をご参照ください。なお、上記のスペシャル動画(英語)では、脆弱性の背景に関する説明やデモをご覧いただけます。この脆弱性は、インターネットフォーラム上の投稿や返信を介して、外国為替トレーダーを狙い、リモートアクセスツールやトロイの木馬型と呼ばれるマルウェアを用いた攻撃に悪用されています。そして広く周知された現在、攻撃での悪用が広がることが予想されます。トレンドマイクロの顧客は、既に様々なフィルターや仮想パッチで保護されています。それ以外の方々もこの修正パッチを早急にテストし、適用することをお勧めします。
CVE-2024-21351 - Windows SmartScreen セキュリティ機能のバイパスの脆弱性
この脆弱性は、すでに攻撃で悪用され修正対応されたとされるもう1つの脆弱性であり、以前確認された攻撃で悪用された別の脆弱性とも類似しています。Windows Defenderのセキュリティ機能は、信頼できないソースから来たファイルを区別するためにMotW(Mark-of-the-Web)を使用していますが、この脆弱性が悪用されると、こうしたSmartScreen機能がバイパスされ、バックグラウンドでのコード実行が可能となります。Microsoft社は、この脆弱性悪用による攻撃がどれほど広がっているかを具体的には示していませんが、今後、攻撃者がこの手法をツールキットに加えるにつれ、悪用されるケースが増えることが予想されます。この更新を早急にテストして適用することをお勧めします。
CVE-2024-21410 - Microsoft Exchange Serverにおける特権昇格の脆弱性
久々にExchange Serverの脆弱性への修正パッチがリリースされました。この脆弱性はCVSSスコアが9.8と非常に高い深刻度に分類されています。この脆弱性が悪用されると、リモートの未認証攻撃者がNTLM認証情報を中継し、Exchangeサーバ上で他のユーザになりすますことが可能となります。この場合の修正パッチ適用はそれほど単純ではありません。Exchange Serverの修正パッチが単純であることは稀ですが、特に今回の場合、Exchange Server 2019 累積アップデート14(CU14)をインストールし、認証の拡張保護(EPA)機能が有効であることを確認する必要があります。Microsoft社は、Exchange管理者に向けてさらなる情報を提供する記事を公開しています。
CVE-2024-21413 - Microsoft Officeリモートコード実行の脆弱性
この脆弱性は、悪用されると、攻撃者がOfficeの保護ビューを回避し、ファイルを保護モードではなく編集モードで開くことが可能になります。これにより、プレビューパネルを介してもコード実行される可能性があります。また、CVSSスコアが9.8に分類されており、決して過大評価すべきではないでしょう。Office 2016の32ビット版および64ビット版を使用しているユーザは、この脆弱性に完全に対応するために複数の更新プログラムをインストールする必要があります。修正プログラムをインストールする際は、再起動が必要になるかもしれないとされているため、インストール中はすべてのOfficeアプリケーションを閉じることが望ましいでしょう。
その他の脆弱性
その他の「緊急」に分類された脆弱性を見ると、Dynamics Business Centralの脆弱性への修正対応が特に注目されます。この脆弱性が悪用されると、攻撃者が他のテナントのアプリケーションやコンテンツにアクセスする可能性があります。この場合、攻撃者は認証が必要であるものの、悪用に成功すると読み書きや削除の機能を手に入れることができます。その他、DoS攻撃関連の脆弱性が挙げられます。DoS攻撃関連で「緊急」分類されるケースは珍しいですが、Hyper-Vに対する今回の修正パッチは、ゲストOSがHyper-Vホストに影響を与えうるため、このように分類されているといえます。また、Pragmatic General Multicast(PGM)の脆弱性も深刻ですが、この場合、悪用に際しては、攻撃者がネットワーク上で隣接している必要があるため、攻撃の可能性は低いともいえます。マルチキャストのメッセージは、単一のネットワークセグメントを越えてはルーティングされないからです。
その他のリモートコード実行関連の脆弱性に目を向けると、SQLクライアントにおける脆弱性は。18件の修正パッチによって対処され、注目されています。幸い、これらの脆弱性も、悪用されるためには、影響を受けたクライアントが不正なSQLサーバに接続する必要があるため、巧妙なソーシャルエンジニアリングの手口を駆使しない限り実現は難しいでしょう。ActiveXの脆弱性も同じ状況にあります。それよりも懸念されるものは、プレビューパネルが攻撃経路となり得るWordとOutlookは脆弱性でしょう。Wordの脆弱性は通常、ファイルを開くだけで悪用されるものですが、プレビューパネルで悪用されるのは珍しいケースといえます。そう他、Officeコンポーネントにおけるリモートコード実行関連の脆弱性は一般的なものとなっています。ただし、脆弱性CVE-2024-20673では、修正に際してOffice 2016の32ビット版と64ビット版のユーザが保護を受けるためには、複数の更新を適用する必要があります。また、Azure Kubernetes Serviceの脆弱性の対処にも追加の手順が必要となっています。Microsoft社は、公式声明で以下のように述べています。
「az confcom」が未インストールのお客様は、「az extension add -n confcom」を実行して最新バージョンをインストールしてください。また、バージョン0.3.3以前をご利用のお客様は、「az extension update -n confcom」を実行し、最新版への更新が必要です。詳細はこちらをご参照ください。
Azure DevOpsにおける脆弱性では、攻撃者がQueue Buildの権限を持っていなければ悪用できないようです。Microsoft Message Queuing(MSMQ)の脆弱性は、「Open and Own(開いて所有する)」というタイプのもので、MSMQを使用するアプリケーションを開くことで脆弱性が悪用される可能性がありますが、その詳細は明記されていません。また、またカーネルにおける脆弱性では、攻撃者がUSBドライバーやWindowsのカーネルを介してリモートコード実行をどのように実現するかは明記されていません。不正なUSBドライブを接続することで悪用できるかもしれません。Windowsのカーネルを介してリモートコード実行はさらに不明瞭です。通常、カーネルにおける脆弱性は、特権昇格や情報漏えいに関連しています。このケースもSMB経由でこうした活動を行うのかもしれません。
特権昇格関連では、14件の修正パッチ対応がなされており、その大部分は、悪用されると、認証済みの攻撃者がターゲットのシステム上でコードを実行することで特権昇格させることが可能となります。ただし、いくつかの重要な例外があります。まず、Entra Jira SSOプラグインに存在するCVSSスコア9.8の脆弱性が挙げられます。この脆弱性ございます悪用されると、リモートから未認証の攻撃者がプラグインのEntra ID SAMLメタデータや情報を完全に更新できるようになります。攻撃者は。その後、必要に応じてアプリケーションの認証を自身のテナントに変更することが可能です。この問題を修正するには、管理者がMicrosoft Download CenterまたはAtlassian Marketplaceからプラグインのバージョン1.1.2をダウンロードしてインストールする必要があります。Azure Kubernetes Serviceの脆弱性に対処する場合も同様の手順が必要です。Azure File Syncのセキュリティ上の問題は、攻撃者が本来アクセス権を持たないディレクトリにファイルを作成できることですが、既存のファイルの変更や削除できません。一方、「警告」と分類されながらもCVSSスコア9.3となっているAzure Site Recoveryの脆弱性のケースでは、悪用されると、攻撃者がMySQLのルートパスワードを取得し、さらに深刻な侵害を引き起こす可能性があります。この脆弱性が「警告」程度にされた理由は不明ですが、Azure Site Recoveryを使用している場合は、この問題を「緊張」として扱うべきでしょう。最後に、Outlookにおける特権昇格の脆弱性では、悪用されると、アプリケーションを実行しているユーザのレベルでコード実行が可能となります。
情報漏えいに関連する脆弱性への修正対応は数件が含まれています。WindowsのカーネルとDNSサーバにおける脆弱性は、悪用されると、特定されていないメモリ内容の情報が漏えいされます。Skype for Businessの脆弱性に関しては、悪用されると、攻撃者がファイルの内容を見ることが可能となります。Microsoft社は、Android版Teamsの脆弱性がどのような情報を漏えいさせる可能性があるのかの詳細を明らかにしていませんが、ユーザ操作の介在が必要であることを指摘しています。この脆弱性から守るためには、Android Play Storeから直接更新を行う必要があります。
上述の2件に加えて、Skype for Businessについてはさらに2件の修正パッチがリリースされています。1つは、悪用されると、カーネル内のSkype for BusinessにおいてWindowsのコード整合性ガード(CIG)が回避される可能性があります。もう1つの脆弱性は、悪用されると、信頼されたコンピューティングベース内のSkype for Businessにおいてセキュアブートが回避される可能性があります。
その他、DoS攻撃関連の脆弱性への修正対応もいくつか含まれています。これらの脆弱性は半ダースを少し超える程度の件数に及んでいますが、Microsoft社からはこれらに関する具体的な情報や詳細は提供されていません。いずれにしても、企業での使用が多いことを考慮し、DNSとLDAPの脆弱性へ優先的に対応するべきでしょう。
なりすまし関連では、6件の脆弱性への修正対応がなされています。このうち3件はDynamics 365に存在しとおり、悪用されると、攻撃者がシステム上のリンクの内容を変更して、不正なサイトへリダイレクトされる可能性があります。デバイスメタデータ取得クライアント(DMRC)の脆弱性に対する修正では、遠隔の攻撃者が特別に作成したパケットをシステムに送信することで引き起こされる悪用に対処しています。残り2件のなりすましの脆弱性はAzureに関連しており、悪用に際しては、Azure Stack Hubの場合、ユーザがリンクをクリックする必要があり、Azure Active Directoryの場合では、攻撃者がトラフィックを傍受する必要があります。ただし、対応策はパッチのインストールだけにとどまらず、Microsoft社はすでにCode ExchangeのProof Key(PKCE)を含む修正を実施しています。なお、全ての顧客がこの更新を受け取っているわけではない点も留意が必要です。Azure Service Health AlertsとしてTracking ID: XXXXXXを通じて直接通知を受け取っていない場合は、追加の対応が必要となります。
また、Microsoft Dynamicsでは、クロスサイトスクリプティング関連の脆弱性4件に修正対応が適用されました。今月は新しいアドバイザリはリリースされていません。
次回のセキュリティアップデート
次のパッチチューズデーは2024年3月12日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年2月発表の全リスト
2024年2月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE FEBRUARY 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)