エクスプロイト&脆弱性
2024年6月 セキュリティアップデート解説:Microsoft社は58件、Adobe社は143件の脆弱性に対応
2024年6月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年6月Adobe社からのセキュリティアップデート
2024年6月のAdobe社のセキュリティアップデートでは、Adobe Cold Fusion、Photoshop、Experience Manager、Audition、Media Encoder、FrameMaker Publishing Server、Adobe Commerce、Substance 3D Stager、Creative Cloud Desktop、Acrobat Androidの合計165件もの脆弱性が修正されました。中でもExperience Managerの修正が最も大規模で、143件の脆弱性に対処しています。ただし、これらのうち1件を除くすべてがクロスサイトスクリプティング(XSS)の脆弱性です。Cold FusionとAuditionの更新はそれぞれ2件の脆弱性を修正していますが、リモートコード実行の脆弱性は含まれていません。Media Encoderの更新では、OOB読み取りメモリリーク関連の脆弱性が1件修正されました。Photoshopの更新でも、「緊急」に分類されたリモートコード実行の脆弱性が1件のみです。Substance 3D Stagerの更新も同様の状況です。
FrameMaker Publishing Serverの更新で修正された2件の脆弱性のうち、1件はCVSSスコアが10、もう1件は9.8に分類されています。この製品を使用している場合は、最優先でテストと修正パッチの適用を行うべきでしょう。Commerceの更新も「高」に分類されたリモートコード実行関連を含む10件の脆弱性を修正しているため、テストと適用の優先度が高くなります。Creative Cloud Desktopの更新は、1件のリモートコード実行関連の脆弱性を修正しています。最後に、Acrobat Androidの更新は、セキュリティ機能バイパス関連の脆弱性2件を修正しています。
今月Adobe社が修正した脆弱性は、リリース時点で周知されているものや、攻撃に悪用されているものはありませんでした。Adobe社では、これらのアップデートの適用優先度を3としています。
2024年6月Microsoft社からのセキュリティアップデート
2024年6月、Microsoft社はWindows及びWindowsコンポーネント、Office及びOfficeコンポーネント、Azure、Dynamics Business Central、Visual Studioの脆弱性を修正する49件のセキュリティアップデートを公開しました。今月ドキュメント化されたサードパーティの脆弱性を含めると、対応された脆弱性件数は合計58件になります。これらの脆弱性のうち8件はZero Day Initiative (ZDI) プログラムを通じて報告されたもので、3月に開催されたPwn2Own Vancouverコンテストで報告された事例も含まれています。
今回新たにリリースされたパッチのうち、深刻度が「緊急」と評価されているものは1件のみで、48件が「重要」と評価されています。4月の大規模なリリースと比較すると、今回のリリースは比較的小規模なものとなっています。
今回の脆弱性対応のうち、周知されているものは1件のみですが、これは実際にはサードパーティの更新プログラムがMicrosoft社の製品に統合された際に周知されたものです。攻撃に悪用されているケースは報告されていません。それでは、今月の注目すべき更新プログラムをいくつか詳しく見ていきましょう。まずは今月唯一「緊急」に分類された脆弱性対応から始めましょう。
CVE-2024-30080 - Microsoft Message Queuing (MSMQ) のリモートコード実行の脆弱性
この更新プログラムには、CVSS評価で9.8という高いスコアが付けられています。この脆弱性が悪用されると、MSMQが有効になっているシステムにおいて、リモート認証されていない攻撃者が、高い権限で任意のコードを実行できてしまう可能性があります。これにより、MSMQが有効なサーバ間ではワーム的な感染が可能になりますが、MSMQが無効になっているシステムへの感染は起こりません。この脆弱性は、昨年発見された「QueueJumper」の脆弱性と似ていますが、インターネット上で影響を受けるシステムの規模は明確ではありません。その数は少ないと思われますが、今回の脆弱性を機に、ネットワークを見直し、TCPポート1801に外部から到達できないことを確認するのが賢明でしょう。
CVE-2024-30103 - Microsoft Outlook のリモートコード実行の脆弱性
この脆弱性対応は、攻撃者がOutlookのレジストリブロックリストを回避して、不正なDLLファイルを作成できてしまう脆弱性を修正するものです。詳細は明らかにされていませんが、攻撃者はこの不正なDLLファイルを利用して、さらなるシステムの侵害につながるDLLハイジャックを何らかの形で行うことが考えられます。なお、攻撃者がこの攻撃を実行するには、有効なExchangeの認証情報が必要となる点は救いといえます。一方で、懸念されるのは、この脆弱性がプレビューペインでも悪用可能だという点です。ダークウェブのフォーラムで認証情報が頻繁に売買されている現状を考えると、この修正パッチの適用は軽視すべきではないでしょう。
CVE-2024-30078 - Windows Wi-Fiドライバーのリモートコード実行の脆弱性
この脆弱性が悪用されると、認証されていない攻撃者が、特殊に細工されたネットワークパケットをターゲットに送信するだけで、影響を受けるシステム上で任意のコードを実行できてしまいます。攻撃が成立するには、ターゲットが攻撃者のWi-Fiの範囲内にあり、Wi-Fiアダプターを使用している必要がありますが、それ以外に制限はありません。Microsoft社はこの脆弱性の悪用可能性を「低」に分類していますが、現在サポートされているすべてのバージョンのWindowsに影響を与えることを考えると、攻撃者やレッドチームから大きな注目を集めることになるでしょう。
その他の脆弱性
リモートコード実行の脆弱性を修正する他のセキュリティアップデートの中でも、いくつか特筆すべきものがあります。先に挙げたWi-Fiの脆弱性に加え、Link Layer Topology Discovery Protocolにも同様の悪用方法を持つ2件の類似した脆弱性が存在します。これら2件の脆弱性の場合、攻撃が成立するためには、ターゲットがNetwork Map機能を実行している必要があります。また、「開くだけで乗っ取られる」タイプの脆弱性もいくつか修正されています。特に注意すべきは、「プレビューペインが攻撃の起点となるが、ユーザによる追加操作が必要」とされているOfficeの脆弱性です。ただしどのような形で現れるのかは明記されていません。DFSの脆弱性は、攻撃者が既にターゲット上でコードを実行している必要があるため、これは筆者から見ると特権昇格関連の脆弱性のように感じられます。OLEの脆弱性は、不正なSQLサーバへの接続が必要です。Speech Application Programming Interface(SAPI)の脆弱性は、ユーザが攻撃者のサーバに接続するためのリンクをクリックすることが必要です。Dynamics 365のリモートコード実行の脆弱性の場合は、認証が必要とのことで、これも特権昇格の脆弱性のように感じられますが、悪用に際してユーザの追加操作は不要だとも述べられており、実際の攻撃に悪用される可能性は低いという説明は奇妙ともいえます。
今月のセキュリティアップデートの半数以上は特権昇格の脆弱性を修正するものですが、その多くは、認証されたユーザが特別に細工されたコードを実行した場合、SYSTEMレベルでのコード実行が可能になってしまうというケースです。他の特権昇格の脆弱性では、攻撃者が実行中のアプリケーションと同じ権限レベルまで到達できる可能性があります。Winlogonの脆弱性は、悪用されると、攻撃者が正規のファイルの内容を細工されたファイルの内容に置き換えられるという点で、興味深いといえます。カーネルの脆弱性の1つは、コンテナからの脱出に悪用される可能性があります。Perception Serviceの脆弱性は、「NT AUTHORITY\LOCAL SERVICE」アカウントへの権限昇格を許してしまう恐れがあります。Visual Studioの脆弱性は、攻撃者が不正な拡張機能を作成する必要があり、さらに認証されたユーザがその拡張機能を使用するVisual Studioプロジェクトを作成しなければなりません。これらすべてが成功すれば、管理者権限が得られてしまいます。
Azure Identity LibrariesとMicrosoft Authentication Libraryの脆弱性では、悪用されると、攻撃者はSYSTEM特権を利用して、ターゲットシステム上の任意のファイルを読み取ることが可能になります。Azure Monitor Agentの特権昇格の脆弱性は、攻撃者にファイルやフォルダーを削除される可能性をもたらします。自動拡張アップグレードを無効にしている場合は、Monitor Agentが最新バージョンであることを確認するために、手動でアップデートを実行しなければなりません。追加の対応が必要な点について言えば、Azure Science Virtual Machine(DSVM)の脆弱性では、DSVMをUbuntu 20.04にアップグレードする必要があります。この手順に馴染みがない場合は、Microsoftが提供しているこちらの記事を参考にしてください。この脆弱性を悪用した攻撃者は、ユーザの認証情報にアクセスできるようになり、正規のユーザになりすまして行動することが可能になってしまいます。
今月修正された情報漏えい関連の脆弱性は3件のみで、そのうちの1件は、悪用されると、不特定のメモリ内容の情報漏えいにつながります。Dynamics 365のオンプレミス版の脆弱性では、悪用されると、ログオンしているユーザがアクセス可能なすべてのデータを流出される可能性があります。暗号化サービスの脆弱性は、悪用されると、KeyGuard(KG)キーなどの機密情報が漏えいされる恐れがあります。これらのキーは、ブートごとに生成され、機密データの保護に使用されることを意図しているものです。攻撃者がこれらのキーを利用して、それらのキーで暗号化されたデータを復号化できてしまう可能性があります。
6月の最後の脆弱性は、WindowsとAzureコンポーネントのサービス拒否(DoS)攻撃関連の脆弱性に対処するものです。Microsoft社はこれらの脆弱性や、影響を受けるシステムでどのように現れるかについての詳細な情報を提供していません。ただし、DHCPサーバのDoS攻撃関連の脆弱性では、DHCPのセットアップにフェイルオーバーを設定している場合には影響しないと述べています。
今月のリリースには、新しい勧告は含まれていませんでした。
Microsoft社2024年6月発表の全リスト
2024年6月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE JUNE 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)