エクスプロイト&脆弱性
2024年5月 セキュリティアップデート解説:Apple社への対応も含め、Microsoft社は63件、Adobe社は37件の脆弱性に対応
2024年5月の第2火曜日となり、Adobe社とMicrosoft社、さらに今回はApple社も含め、最新のセキュリティパッチがリリースされました。最新のアドバイザリーの詳細を確認しましょう。リリース全体の概要を説明した動画(英語)は、以下からご視聴ください。
2024年5月の第2火曜日となり、Adobe社とMicrosoft社、さらに今回はApple社も含め、最新のセキュリティパッチがリリースされました。最新のアドバイザリーの詳細を確認しましょう。リリース全体の概要を説明した動画(英語)は、以下からご視聴ください。
2024年5月Apple社からのセキュリティアップデート
Apple社は、macOSとiOSプラットフォーム向け更新が実施されました。中でも注目すべきは、iOS 16.7.8およびiPadOS 16.7.8向けに実行された脆弱性「CVE-2024-23296」関連の修正です。この脆弱性は、iOSとmacOSのカーネル内で動作する低レベルのフレームワーク「RTKit(RunTime Kit)」のメモリ破損の不具合であり、悪用されると、カーネルメモリ保護がバイパスされる可能性があります。この脆弱性に対する最初の修正パッチは3月にリリースされ、その際、追加の修正が行われると述べていたとおり、この5月に対応されました。この脆弱性は現在、攻撃に悪用されているとの報告があるため、影響を受けるOSを使用しているデバイスをお持ちの場合は、必ずアップデートを行ってください。
同社はまた、ZDI主催のセキュリティイベント「Pwn2Own Vancouver」で「Master of Pwn」を受賞したManfred Paul氏によって実証されたSafariの脆弱性への修正対応も実行しています。
2024年5月Adobe社からのセキュリティアップデート
今月、Adobe社は、Adobe AcrobatとReader、Illustrator、Substance3D Painter、Adobe Aero、Substance3D Designer、Adobe Animate、FrameMaker、Dreamweaverにおける37件の脆弱性に対処する8件の修正パッチをリリースしました。これら37件の脆弱性のうち8件は、ZDIプログラムを通じて報告されました。中でもReaderへのアップデートを優先する必要があります。マルウェアやランサムウェアの攻撃者が頻繁に悪用する可能性のある複数の「緊急」に分類された脆弱性が含まれているからです。まだ確認されていませんが、最終的にはいくつかが悪用される可能性が懸念されています。Illustratorにおける修正では、任意のコード実行につながる可能性があり、「緊急」分類された脆弱性2件に対応しています。(拡張現実のオーサリングおよびパブリッシングツールである)Aeroへの修正では、これにより単一のコード実行につながる脆弱性が対処されています。恐らくこれは当該製品では初めてのAdobe社からの修正パッチのはずです。
Adobe Animateでは、8件の脆弱性が修正され、そのうち7件が「緊急」に分類されたリモートコード実行につながる脆弱性でした。FrameMakerへの修正でも、リモートコード実行関連の脆弱性複数への対応となっています。これらは、悪用されるためにはユーザの操作が必要となるという従来からの「open-and-own」タイプの脆弱性です。Dreamweaverで修正された単一の脆弱性も同様のタイプでした。Substance 3D Painterでは、4件の脆弱性に対応され、そのうち2件が「緊急」に分類された脆弱性でした。また、Substance 3D Designerの場合は、「重要」に分類されたメモリリークに関連する単一脆弱性への対応となっています。
今月Adobe社が修正した脆弱性のうち、リリース時点で周知されているものや攻撃に悪用されているものはありませんでした。同社は、これらのアップデートを展開優先度3に分類しています。
2024年5月Microsoft社からのセキュリティアップデート
今月、Microsoft社は、Windows、Windowsコンポーネント、Office、Officeコンポーネント、.NET Framework、Visual Studio、Microsoft Dynamics 365、Power BI、DHCPサーバー、Microsoft Edge(Chromiumベース)、Windows Mobile Broadbandにおける脆弱性59件に対処しています。ドキュメント化されたサードパーティの脆弱性も含めると、合計63件の脆弱性への対応となります。これらの脆弱性のうち2件はZDIプログラムを通じて報告されました。先月と同様、「Pwn2Own Vancouver」で公開された脆弱性は、今回のリリースでは修正されていません。Apple社とVMware社がこのイベント中に報告された脆弱性をすでに修正したため、Microsoft社は、同コンテストからの脆弱性に対応していない唯一のベンダーとなっています。
今回リリースされた新たな修正対応のうち、「緊急」に分類された脆弱性が1件、「重要」が57件、「警告」が1件となっています。今回のリリース件数は、規模としては先月の約3分の1程度なのであり、今後、先月のように1ヶ月で大量の修正が行われることが定期的に発生しないことを願っています。
本日リリースされた脆弱性対応のうち、2件が現在攻撃に悪用され、さらに1件が周知されていると記載されています。Microsoft社は、攻撃の規模については何も示していませんが、DWM Coreにおける脆弱性悪用の攻撃は、単なる標的型の攻撃以上のものであるように思われます。以下、興味深いアップデートのいくつかを詳しく見ていきましょう。まずは、現在攻撃事例が確認されているDWMの脆弱性から始めます。
CVE-2024-30051 – Windows DWM Coreライブラリにおける特権昇格の脆弱性
この脆弱性が悪用されると、影響を受けるシステム上でシステム管理者権限(SYSTEM)に昇格することが可能となります。このタイプの脆弱性は通常、リモートコード実行の脆弱性と組み合わせて、標的を乗っ取るために使用されるため、ランサムウェアによって頻繁に使用されます。Microsoft社は、この脆弱性が悪用された事例が4つの異なるセキュリティ専門家等のグループから報告されたことを認めており、このことは、攻撃が広範囲に及んでいることを示唆しています。また、この脆弱性の詳細も既に周知されています。また、修正パッチが利用可能であり、攻撃者によるリバースエンジニアリングの分析も可能であることから、さらに巧妙な悪用が増加する可能性も懸念されます。そのため、すぐに修正パッチを適用することを推奨します。
CVE-2024-30043 – Microsoft SharePointサーバにおける情報漏えいの脆弱性
この脆弱性は、ZDIのリサーチャーPiotr BazydłoによってMicrosoft社に報告されたもので、Microsoft SharePointサーバ2019のXML外部エンティティインジェクション(XXE)の脆弱性を示しています。認証を得た攻撃者は、この脆弱性を悪用することで、SharePointファームサービスアカウントのユーザ権限でローカルファイルを読み取ることができます。また、HTTPベースのサーバサイドリクエストフォージェリ(SSRF)を実行することもでき、最も重要なこととして、SharePointファームサービスアカウントとしてNLTMリレー実行も可能となります。情報漏えい関連の脆弱性は決して無視したり、優先度を下げたりしてはいけないことが、このような悪用例からも分かります。
CVE-2024-30033 – Windowsサーチサービスにおける特権昇格の脆弱性
こちらもZDIプログラムを通じて報告された別の脆弱性であり、上述した現在悪用されている脆弱性と同様の影響が懸念されますが、悪用のメカニズムは異なっています。これは、Windowsサーチサービスのリンク追跡に存在する脆弱性であり、悪用の際、擬似シンボリックリンクを作成することで、攻撃者は、Windowsサーチサービスを騙して、本来削除する予定だったファイルやフォルダではなく、システム上の別の重要なファイルやフォルダをシステム管理者権限(SYSTEM)で削除させることができます。この特権昇格の手法についてはこちらの記事(英語)で解説しています。なお、削除は、サービスの再起動時に行われます。権限の低いユーザはサービスを直接再起動できませんが、この場合は、権限の低いユーザが「PIDで任意のプロセスを終了できる脆弱性」と簡単に組み合わせることで対応できるでしょう。終了後、サービスは自動的に再起動され、この脆弱性が悪用されることになります。
CVE-2024-30050 – Windows Mark of the Webにおけるセキュリティ機能バイパスの脆弱性
通常、深刻度が「中(警告)」程度の脆弱性については詳しく説明しませんが、このタイプのセキュリティ機能のバイパス関連の脆弱性は現在、ランサムウェア攻撃グループに人気があるため、言及しておく必要があります。これらの攻撃者は、ネットワークやホストベースの防御をバイパスするため、ペイロードをzipで圧縮し、Microsoft OfficeのSmartScreenやProtected Viewを避けるために、Mark of the Web(MotW)バイパスを使用します。この脆弱性が現在、攻撃に悪用されているという兆候はありませんが、よく使用されている手口であるため注意が必要です。このような脆弱性は、深刻度が「中(警告)」程度であっても無視したり、優先度を下げたりしてはいけない理由を示しているといえます。
その他の脆弱性
今月の「緊急」に分類された脆弱性は1件だけであり、SharePointサーバにおけるリモートコード実行関連の脆弱性です。認証された攻撃者がこの脆弱性を悪用することで、SharePointサーバのコンテキストにおいて任意のコード実行が可能となります。この悪用には、特定のユーザ権限が必要となりますが、サーバ上の許可されたユーザであれば、悪用可能なレベルの権限となります。
その他のリモートコード実行の脆弱性を見ると、ほとんど使用されていないプロトコルにおける脆弱性が多いことがわかります。Windows Mobile Broadbandドライバとルーティングおよびリモートアクセスサービス(RRAS)がこのカテゴリーの脆弱性の大部分を占めています。より注目すべきは、仮想化プラットフォームHyper-Vにおける2件の脆弱性です。このうちの1件は、悪用されると、認証された攻撃者により、ホストシステム上でのコードが実行となります。つまり、仮想環境のゲストから物理環境のホストへの不正活動が可能となります。Microsoft社は、ホストOS上でのコード実行がどのレベルで発生するかについて詳細は示していません。また、ここ数ヶ月、SQLに関連する多くの修正対応がありましたが、今月は1件だけとなっています。以前の脆弱性と同様、この脆弱性も、悪用するには、不正なSQLサーバへの接続が必要となります。その他、また、暗号化サービスにおける脆弱性は、悪用される場合、攻撃者が通信を傍受するマンインザミドル(MITM)攻撃を実行する必要があり、これにより、不正な証明証がターゲットシステムにインポートされる可能性があります。その他のリモートコード実行関連の脆弱性としては、ExcelやNET、Visual Studioに存在する「open-and-own」タイプの脆弱性があります。これらは、ユーザが特別に細工されたファイルを開くことで悪用される可能性があります。
特権昇格関連の修正対応を見ると、ほとんどすべての脆弱性が、認証されたユーザが特別に細工されたコードを実行することで、システム管理者権限(SYSTEM)でのコード実行につながる可能性があります。これらの脆弱性単独では大きな影響はありませんが、上述のExcelの脆弱性のようなコード実行系の脆弱性と組み合わせることで、攻撃者がシステム全体を乗っ取るために悪用される可能性があります。例えば、攻撃者は特別に細工されたExcelドキュメントをユーザに開かせ、そこから特権昇格の脆弱性を悪用してシステムを乗っ取ることができます。ただし、Brokering File Systemコンポーネントの脆弱性は例外的な存在です。この脆弱性が悪用されると、攻撃者は、現在のユーザの認証情報を使用してリモートホストに対して認証を行うことができます。この攻撃は、権限の低いAppContainerと呼ばれる特殊な実行環境からでも実行可能であり、攻撃者はAppContainerよりも高い権限でコードを実行したりリソースにアクセスしたりできるようになります。
すでにMark of the Web(MotW)のセキュリティ機能のバイパスについて説明しましたが、今月修正された他のセキュリティ機能関連の脆弱性としては、MSHTMLエンジンに関するものだけです。MSHTMLエンジンは、Internet Explorerで使用されていたTridentエンジンの一部です。Internet Explorerが廃止されたため、これらの脆弱性から安全になったと思われがちですが、実際にはMSHTMLエンジンは他の部分でまだ使用されています。この脆弱性が悪用されると、認証されていない攻撃者が、ユーザに対して不正なドキュメントを開くように仕向けることで、コード実行が可能となります。そしてそのコードは、ドキュメントを開いたユーザと同じ権限で実行されます。したがって、この脆弱性は、管理者権限でログインすることの危険性を示す一例ともいえます。
情報漏えい関連の脆弱性は7件だけであり、そのうちSharePointに関するものについてはすでに説明しました。これらの脆弱性の多くは、特定されていないメモリの内容が漏えいするだけで、深刻な影響がある可能性は低いと考えられます。しかし、Power BIの脆弱性は、「機密情報」の漏えいにつながる可能性があります。ただし、Microsoft社はどのような種類の「機密情報」が漏えいする可能性があるのかについて、具体的な情報を提供していません。同様に、Deployment Servicesの脆弱性は、「ファイルの内容」が漏えいする可能性があるとされています。しかし、Microsoftは、この脆弱性によって任意のファイルの内容が漏えいするのか、それとも特定のファイルの内容のみが漏えいするのかについて明確にしていません。そのため、この脆弱性の影響範囲を正確に判断することは難しい状況です。
なりすまし関連では4件の脆弱性が含まれています。最初の脆弱性は、Azure Migrateにおけるクロスサイトスクリプティング(XSS)の脆弱性です。現在、この脆弱性を修正するための修正パッチはまだ提供されていません。代わりに、最新のAzure Migrate AgentとConfigManagerのアップデートを適用する必要があります。詳細な手順については、こちらのリンクを参照してください。次に、Dynamics 365におけるなりすまし関連の脆弱性2件があります。ただし、これらの脆弱性の詳細は明らかにされておらず、XSSの脆弱性に似ているとだけ説明されています。最後に、Bing検索エンジンにもなりすまし関連の脆弱性が1件あります。この脆弱性を悪用することで、攻撃者は脆弱なリンクのコンテンツを改ざんし、ユーザーを悪意のあるサイトにリダイレクトさせることが可能になります。
今回のリリースでは、Microsoft Intune Mobile Application Management(MAM)に関する改ざん(Tampering)関連の脆弱性1件が修正されています。この脆弱性を悪用することで、攻撃者はルート化された(つまり、セキュリティ制限が解除された)デバイス上の機密情報を取得できる可能性があります。
サービス拒否(DoS)関連の脆弱性では、ASP.NET、DHCPサーバ、Hyper-Vにおいて対処されています。ただし、Microsoft社はこれらの脆弱性の詳細や、影響を受けるシステムでどのような症状が現れるかについて、具体的な情報を提供していません。
なお、今月のリリースには、新しいセキュリティアドバイザリは含まれていません。
次回のセキュリティアップデート
次回のパッチチューズデーは2024年6月11日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年5月発表の全リスト
2024年5月にMicrosoft社が発表したCVEの全リストはこちらご参照ください
参考記事:
THE MAY 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)