エクスプロイト&脆弱性
2024年3月 セキュリティアップデート解説:Microsoft社はHyper-Vの緊急の脆弱性含む64件、Adobe社は56件に対応
2024年3月、Adobe社とMicrosoft社が新たなセキュリティ更新をリリースしました。最新のアドバイザリの詳細を見ていきましょう。また、以下の動画(英語)からも概要を確認いただけます。
2024年3月、Adobe社とMicrosoft社が新たなセキュリティ更新をリリースしました。最新のアドバイザリの詳細を見ていきましょう。また、こちらの動画(英語)からも概要を確認いただけます。
2024年3月Adobe社からのセキュリティアップデート
2024年3月、Adobe社は、Adobe Experience Manager、Premiere Pro、ColdFusion、Adobe Bridge、Lightroom、Adobe Animateに存在する脆弱性56件に対応する6つの修正パッチをリリースしました。このうち2件の脆弱性はZDI(Zero Day Initiative)プログラムを通じて報告されました。最大のアップデートはExperience Managerに対処するものあり、44件の脆弱性を修正しています。ただし、これら44件のうち42件が単純なクロスサイトスクリプティング(XSS)関連の脆弱性となっています。一方、Adobe Animateでは、4件の脆弱性が修正され、そのうちの1件は深刻度が「緊急」に分類されており、この脆弱性が悪用されると、特定のファイルを開いた際に任意のコードが実行される可能性があります。残りの3件の脆弱性は、範囲外読み込み(OOB Read)の不具合によるメモリリークに関するものです。Premiere Proでは、悪用に際してユーザ操作の介在が必要な「緊急」に分類された2件の脆弱性に対処されています。
ColdFusionを使用しているユーザの注意点として、任意のファイルシステム読み取り関連の「緊急」に分類された脆弱性への修正が挙げられます。この場合、Adobe社はColdFusionのJDK/JRE LTSバージョンを最新のアップデートに更新することを推奨しています。Adobe Bridgeでは、「緊急」の脆弱性3件、「重要」の脆弱性1件が対処されており、深刻な被害としては、脆弱性悪用により、は特定のファイルを開いた際にコード実行が可能となります。最後にLightroomでは、リモートコード実行関連の脆弱性が修正されています。なお、今回、Adobe社は、修正パッチが利用可能になった時にXの投稿による通知を行わないという珍しい判断を下し、コミュニケーションをメールサブスクリプションのユーザのみに限定していました。多くの人々が(筆者も含めて)通知のためにXのフィードを頼りにしているので、今後、この判断が見直されることを期待しています。
今月のリリースにより、来週開催されるPwn2Ownバンクーバーイベントでは、Adobe Readerを狙う参加者は安心できるでしょう。イベント前に参加者が準備している「攻撃手法」が修正されることはなさそうです。
Adobe社が今月修正した脆弱性には、リリース時点で周知されているものや、攻撃に悪用されているものは含まれていませんでした。同社は、これらのアップデートを優先度3に分類しています。
2024年3月Microsoft社からのセキュリティアップデート
2024年3月、Microsoft社は、Microsoft Windowsとそのコンポーネント、Officeとそのコンポーネント、Azure、.NET FrameworkとVisual Studio、SQL Server、Windows Hyper-V、Skype、Android用Microsoftコンポーネント、Microsoft Dynamicsに関連する脆弱性を対象とした59件の修正パッチをリリースしました。これらに加え、Chromiumベースの脆弱性も複数修正され、脆弱性の総数は64件となっています。これらの脆弱性の中には、ZDIプログラムを通じて報告されたものもあります。
今回修正対応された脆弱性の中で、2件が「緊急」、57件が「重要」に分類されています。これは3月としては比較的少ない件数であり、特に来週開催されるPwn2Ownコンテストの直前であることを考えると、その少なさが際立ちます。ソフトウェアベンダーは通常、対象を最新の状態に更新することを前提に、可能な限り多くの問題を修正しようとします。Microsoft社は、今回のコンテストでも対象であるため、今回の少ないリリース件数がどう影響するかは注目に値します。
今回対応された脆弱性対応の中には、周知されているものや攻撃に悪用されているものは含まれていませんでしたが、この状況は変わる可能性があります。前月もMicrosoft社は、修正対応後、いくつかの脆弱性が攻撃に悪用され、内容が修正されたからです。現時点で、被害事例が確認されているものはありませんが、状況に変化があればこのブログを更新いたします。
以下、深刻度が「緊急」に分類されたHyper-Vの脆弱性を始め、今回注目すべきアップデートをいくつか紹介します。
CVE-2024-21407 - Windows Hyper-Vにおけるリモートコード実行の脆弱性
今回報告された「緊急」の脆弱性うちの1つであり、なおかつ「緊急」の深刻度でリモートコード実行につながる唯一の脆弱性となっています。この脆弱性が悪用されると、ゲストOS上のユーザがホストOS上で任意のコードを実行できるようになります。これは通常、「ゲストからホストへのエスケープ」と称され、サーバ上の他のゲストOSに影響を及ぼす可能性があります。ここで対応されたため、この脆弱性が来週のPwn2Ownで実際に悪用される様子を見ることはできませんが、もし悪用されていたら賞金25万米ドルを勝ち取るチャンスがあったでしょう。来年は期待できるかもしれません。
CVE-2024-26198 – Microsoft Exchange Serverにおけるリモートコード実行の脆弱性
最近はExchangeの脆弱性への修正パッチが毎月のようにリリースされており、3月も例外ではありません。今回は、DLL読み込みに関連している典型的な脆弱性です。攻撃者は特別に作成したファイルを自らの管理下に置き、ユーザにそのファイルを開かせることで、意図したDLLを読み込み、コードの実行を引き起こします。先月、Microsoft社は、Exchangeの脆弱性では、修正対応後の攻撃での悪用を報告しました。同社は、今回の脆弱性に関する悪用事例を報告していませんが、何らかの更新があった場合には、ブログにて更新内容をお知らせします。
CVE-2024-21334 – Open Management Infrastructure (OMI) におけるリモートコード実行の脆弱性
この脆弱性は、今回のリリースで最も高いCVSSスコア9.8となっています。この脆弱性が悪用されると、インターネット上のOMIインスタンスに対して、未認証の攻撃者がリモートコード実行できる可能性があります。これらのシステムがインターネット経由でどれほどアクセス可能かははっきりしませんが、相当数に達すると推測されます。Microsoft社は、この脆弱性の悪用可能性を「低」に分類していますが、ターゲットとして魅力的なシステムにUse After Free(UAF)のような単純な脆弱性の悪用が可能であるケースを考慮すると、関連するTCPポート5986へのスキャン活動が近い将来に増加することが予想されます。
CVE-2024-21400 - Microsoft Azure Kubernetes Service 機密コンテナにおける特権昇格の脆弱性
この脆弱性が悪用されると、未認証の攻撃者が信用されていないAKS KubernetesノードおよびAKS機密コンテナにアクセスし、機密性の高いゲストやコンテナを乗っ取ることが可能になります。そして攻撃者は、認証情報を窃取したり、他のリソースに影響を及ぼすしたりすることが可能となります。これだけでも深刻ですが、問題を解決するための修正パッチ適用が簡単ではない点です。この場合は、ユーザは「az confcom」とKataイメージの最新バージョン使用を確認する必要があります。この脆弱性の告知文には、必要なコマンドに関する詳細情報が記載されていますので、必ずご確認ください。
その他の脆弱性
もう1つの「緊急」に分類された修正対応は、Hyper-VサーバのDoS攻撃の脆弱性です。Microsoft社は、このケースのDoS攻撃の影響範囲やシステムが自動的に復旧するかどうかについて詳細を明らかにしていません。しかし、その深刻度から判断すると、この脆弱性が悪用されると、システム全体が停止する可能性が高いと考えられます。
その他のリモートコード実行の脆弱性については、先月も確認したとおり、不正なSQLサーバに接続する必要があるSQLクライアントに多数の脆弱性が存在しています。ただしこれらの脆弱性の悪用は、ソーシャルエンジニアリングの手法なしには難しいといえます。しかし、Django Backend for SQL Serverの脆弱性はその限りではないようです。この脆弱性が悪用される手法は、未検証のパラメーターを介した典型的なSQLインジェクションとなるからです。また、Windows OLEには、DLLローディングの脆弱性が存在しています。その他、SharePointにおけるリモートコード実行の脆弱性は、悪用に際しては、特別に作成されたファイルを開くようユーザを促すユーザ介入の操作が必要となります。Skype for Consumerにおける脆弱性の場合も、悪用されるには、ソーシャルエンジニアリングの手法が必要となり、さらに自動アップグレードオプションがないことから、Skypeの最新バージョンを手動でダウンロードする必要もあるようです。その他2件のリモートコード実行の脆弱性では、ターゲットシステムへの物理的なアクセスを必要とする点で少し珍しいタイプといえます。どちらの脆弱性も、悪用に際しては、攻撃者がオープンなUSBポートにデバイスに物理的に接続する必要があるようです。このような物理的な攻撃経路に関連する脆弱性への修正パッチ対応は珍しいですが、このタイプの問題に対しても更新が実施されるのは好ましいことといえます。
珍しいという点では、Windowsの圧縮フォルダーコンポーネントの場合、改ざんに関連する脆弱性への対応ということで特筆されます。Microsoft社は、この脆弱性がどのように悪用されるのか具体的には説明していませんが、特別に作成されたファイルを開く必要があるという条件は明記しています。何が改ざんされるのかははっきりしませんが、恐らく攻撃者がこの脆弱性を悪用してファイルの内容を変更できるとものと考えられます。
特権昇格関連では20件以上の脆弱性が修正対応されています。これらの脆弱性の悪用では、通常、ローカルの攻撃者が特別に作成したコードを実行することで、SYSTEM権限に昇格されます。ただし電話機能の脆弱性の場合は、「NT AUTHORITY\Network Service」という若干異なる権限が付与されるようです。また、Azure Data Studioの脆弱性では、悪用されても、アプリケーションを実行中のユーザの権限レベルにしか昇格されないようです。いずれにしろ、管理権限のアカウントで日常業務を行うべきではない注目点を改めて注意を促すものといえます。Microsoft Intune Linux Agentの脆弱性は、悪用されると、カスタム準拠スクリプトの使用時における準拠チェックを回避されてしまいます。その他、Authenticatorアプリの脆弱性は、悪用されると、二要素認証を回避できる可能性がありますが、この場合、ユーザ操作の介入が必要となるようです。つまり、攻撃者は既にターゲットのコードを実行中である中、ユーザにAuthenticatorアプリを閉じて再開させる必要があるようです。Windows Installerの脆弱性では、悪用されると、攻撃者によるファイル削除が可能となります。また、.NETフレームワークにおける類似脆弱性については、最近公開した記事もご参照ください。その他、OMIの脆弱性では、悪用されると、攻撃者がRootとしてOMIサーバと通信することが可能となります。また、Open Networking in the Cloud(SONiC)コンポーネントにおける脆弱性では、悪用されると、攻撃者がBorder Gateway Protocol(BGP)コンテナ内でRootに昇格し、コンテナから脱出するための特定のアクションを実行できるようになります。
セキュリティ機能バイパス関連では、Windows Defenderにおいて影響が大きい脆弱性3件に対する修正が実施されました。幸い、これらの場合、Defenderエンジンが自動的に更新されるため、基本的には何もする必要がありません。しかし、隔離された環境にいたりDefenderが無効になっていたりする場合は、Defenderのバージョンを手動で確認する必要が出てくる可能性はあります。この脆弱性が悪用されると、攻撃者によりDefenderの起動が妨げることが可能となるため、今回の修正パッチが適用されていることを必ず確認しておいてください。その他、ハイパーバイザーで保護されたコードの整合性(HVCI)に関する脆弱性は、悪用されると、コードの整合性保護が回避することが可能となります。なお、この悪用のためには、管理者レベルの権限が必要となります。管理者権限で悪用される脆弱性が修正されることは稀であるため、これも今回の珍しいケースといえます。また今回、Kerberosにおける脆弱性が修正されため、この脆弱性悪用により他のユーザになりすますことが可能だった問題が解決されました。
情報漏えい関連では、5件の脆弱性が修正対応されています。なお、今回、その中で未指定のメモリ内容漏えいに関する脆弱性は1件だけあり、これも今回の珍しいケースといえます。カーネルに関する脆弱性2件は、悪用されると、通常ではアクセスできないレジストリキーを閲覧することが可能となります。Teams for Androidの脆弱性では、悪用されると、アプリのプライベートディレクトリ内のファイルを読み取ることが可能となります。この脆弱性の修正対応のためには、Google Play Storeから手動でダウンロードする必要があります。Outlook for Androidにも同様のケースがあり、この脆弱性が悪用されると、ユーザにとって非常に重要なファイル内容等の情報が閲覧される可能性があります。また、今回のリリースでは、既に記載されているもの以外にも、さまざまな場所で発生するDoS攻撃関連の脆弱性5件への修正対応も含まれています。ただし、これらの脆弱性に関する具体的な情報や詳細は提供されていません。
なりすまし関連では、2件の脆弱性への修正対応が実施されていますが、Android用Microsoft Edgeの脆弱性への修正対応は若干異なった状況となっています。この脆弱性は、2023年3月初旬に報告されましたが、実際の修正はまだ提供されていません。代わりに「Android用Edgeのセキュリティ更新はすぐには利用できません」という注記がされています。Microsoft社が脆弱性情報を公開する一方で、修正を同時に提供しないのは不自然に思われますが、恐らく近い将来には更新されることでしょう。もう1件のなりすまし関連の脆弱性は、Azure SDKに存在するものであり、この脆弱性のリスクを完全な保護を得るためには、追加の手順が必要になるかもしれません。2023年10月19日以前に作成されたデプロイメントを使用している場合、Azure-coreをAzure Core Build 1.29.5以上へ、手動でアップグレードする必要があるからです。一方、10月19日以降にデプロイメントを行っている場合は、修正パッチが自動的に適用される予定です。
今回の新たなアドバイザリとしては、Microsoft社がExchange内で使用されているOracleのライブラリを廃止したことが挙げられます。これは長い間待ち望まれていた変更であり、Oracleがライブラリを更新するたびにExchangeが実質的にゼロデイ攻撃にさらされていたため、歓迎される対応といえます。
その他、Microsoft Dynamicsに存在したクロスサイトスクリプティングの脆弱性1件に修正対応が実施されています。
次回のセキュリティアップデート
まずは何よりもPwn2Ownバンクーバーのアップデートにご注目ください。また、CanSecWestカンファレンスに参加される方は、ぜひZDIのセクションにもお立ち寄りください。次のパッチチューズデーは2024年4月9日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年3月発表の全リスト
2024年3月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE MARCH 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)