エクスプロイト&脆弱性
2024年7月 セキュリティアップデート解説:Microsoft社は142件、Adobe社は7件の脆弱性に対応
2024年7月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年7月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年7月Adobe社からのセキュリティアップデート
2024年7月、Adobe社からのセキュリティアップデートでは、Premiere Pro、InDesign、Adobe Bridgeの3つのソフトウェアに対して、合計7件の脆弱性に対応する修正パッチを公開しました。InDesignへの修正パッチが最も大規模で、深刻度が「緊急」に分類される脆弱性4件に対応しています。これらはすべて悪用されると、攻撃者による任意のコード実行につながる可能性があります。Premiere Proへの修正では、同じく任意のコード実行の恐れがある脆弱性1件に対応しています。Bridgeへ修正では、深刻度が「緊急」に分類される脆弱性1件と「重要」の脆弱性1件に対応しています。「緊急」の方は、悪用されるとコード実行の可能性があり、もう一方はメモリリークにつながる可能性のある不具合です。前月の大規模なAdobeアップデートと比較して、今月のリリースは規模が縮小しており、セキュリティ管理者にとっては負担の軽減が見込まれる内容となっています。
今回Adobe社が修正対応した脆弱性の中で、リリース時点で周知されているものや実際に攻撃に悪用されているものはありませんでした。同社はこれらの更新プログラムの適用優先度を3としています。
2024年7月Microsoft社からのセキュリティアップデート
今月、Microsoft社は139件もの新たな脆弱性対応する修正パッチを公開しました。これらは、Windows and Windows Components、Office and Office Components、.NETとVisual Studio、Azure、Defender for IoT、SQL Server、Windows Hyper-V、BitlockerとSecure Boot、リモートデスクトップ、そして注目すべきことにXboxも対象となっていました。今月ドキュメント化されたサードパーティの脆弱性も含めると、総数は142件に達しています。このうち1件がZDIプログラムを通じて報告されました。
今回の修正パッチの内訳は、「緊急」が5件、「重要」が133件、「警告」が3件となっています。今年4月の過去最多147件には届かないものの、今回もMicrosoft社から膨大な数の修正対応が提供されました。
これらの脆弱性のうち2件は既に周知されており、そのうち1件はサードパーティの更新プログラムがMicrosoft製品に組み込まれたものです。さらに別の2件は、現在積極的に攻撃に悪用されていることが確認されています。それでは、今月の特に注目すべき更新プログラムをいくつか詳しく見ていきましょう。まずは、現在攻撃に悪用されている脆弱性から始めます。
CVE-2024-38080 – Windows Hyper-Vにおける特権昇格関連の脆弱性
この脆弱性が悪用されると、認証された攻撃者によるSYSTEM権限でのコード実行が可能となります。Microsoft社は詳細を明かしていませんが、最悪の場合、認証されたユーザがゲストOSから攻撃を仕掛けられる可能性があります。攻撃の広がりについても不明ですが、この脆弱性はランサムウェアにとって格好の手口となり得ます。Hyper-Vを使用している場合は、このアップデートを迅速にテストし、適用することを強く推奨します。
CVE-2024-38112 – Windows MSHTMLプラットフォームのおけるなりすまし関連の脆弱性
この脆弱性は「なりすまし」と分類されていますが、具体的に何がなりすまされるのかは明確ではありません。過去にMicrosoft社はNTLMリレー攻撃をこう表現しましたが、今回はそれとは異なるようです。この脆弱性を報告したリサーチャーの背景を考えると、近々詳細な分析が公開されるでしょう。ユーザがリンクをクリックしない限り影響を受けないものの、ユーザは何でもクリックしがちという傾向には注意が必要です。
CVE-2024-38077 – Windows リモートデスクトップライセンスサービスのリモートコード実行の脆弱性
これは今月修正された3件のリモートデスクトップライセンス関連の脆弱性の1つで、全てCVSSスコア9.8と非常に深刻といえます。攻撃自体は簡単で、悪用されると、認証されていないユーザが不正なメッセージを送信するだけでコード実行が可能となります。一時的な対策としてライセンスサービスを無効にできますが、必要なサービスであれば現実的ではありません。まずはこれらのサーバがインターネットに直接接続されていないか確認すべきです。多くのサーバがインターネットに接続されている場合、早い段階での攻撃が予想されるためです。また、この脆弱性への対処は、不要なサービスが動いていないかサーバを点検する良い機会ともなります。
CVE-2024-38060 – Microsoft Windows コーデックライブラリのリモートコード実行の脆弱性
この脆弱性は攻撃者の認証が必要ですが、認証された任意のユーザーが悪用可能です。特別に細工されたTIFF画像を対象システムにアップロードするだけで攻撃が成立します。これは初期侵入後の内部での攻撃拡大に利用されやすい手法です。回避策がないため、パッチを迅速にテストし適用することが重要です。
CVE-2024-38023 – Microsoft SharePoint サーバーのリモートコード実行の脆弱性
この脆弱性も認証が必要ですが、サイト所有者権限を持つSharePointユーザなら誰でも攻撃可能です。SharePointのデフォルト設定では認証されたユーザがサイトを作成できるため、Microsoft社が示すCVSSスコア7.2は低すぎるかもしれません。悪用に際して「必要な特権」は「高」よりも「低」であり、それを考慮してスコア8.8が妥当と考えます。過去にブログでこの種の脆弱性について解説しました。この種の脆弱性は実際に悪用された例があるため、SharePointを使用している場合は、この修正を軽視したり、適用を遅らせたりしないよう注意が必要です。
その他の脆弱性
今回のリリースでは、リモートコード実行に関する脆弱性は合計59件であり、これは6月のリリース全体の件数を上回っています。ただし、そのうち38件はSQLサーバに関連するもので、悪用に際しては、ユーザが不正なSQLサーバデータベースに接続する必要があります。これは起こりにくいシナリオですが、攻撃後の水平移動・内部活動の手口として利用される可能性があります。また、Windows Multipointサービスに興味深い脆弱性がありますが、この脆弱性悪用を成功させるにはサービスの再起動が必要となっています。今月新たに公開された唯一の脆弱性は、.NET FrameworkとVisual Studioに関するもので、これは興味深い競合状態ですが、これらの脆弱性が悪用される可能性は低いと思われます。Officeには従来の「開いて乗っ取る」タイプの脆弱性があり、中には脆弱性を完全に解決するために複数のセキュリティ更新プログラムを必要とするものもあります。この点で下記リンク先の全リストの「†」マークのある脆弱性にも注意が必要です。Performance Data Helper Libraryでは、認証済みユーザによる悪用が懸念されるリモートコード実行の脆弱性が指摘されていますが、これらの悪用に際しては高い権限が必要となっています。SharePointでは追加修正が実施されていますが、これらが「重要」ではなく「緊急」に分類されていない理由は不明確です。DHCPサーバに危険そうな脆弱性が存在しており、こちらも悪用に際しては高い権限が必要となっています。Windows DTCの脆弱性も同じ状況にあります。Layer-2 Bridge Network Driverでは、隣接する攻撃者が利用できる脆弱性が指摘されています。OSIモデルにおいて低い深刻度の脆弱性悪用が確認されることは珍しいとはいえ、この脆弱性では悪用に際して攻撃者の認証を必要としないようです。今月のリモート実行関連での最後の脆弱性は、通常パッチが予想されないコンポーネントで発生しています。まずはAzure Kinect SDKであり、この場合、悪用に際して該当するシステムへ不正なUSBドライブを接続する必要があります。このKinect SDKは、WindowsとLinuxの双方で利用可能ですが、今回の修正対応が両方をカバーしているかは不明です。さらにXboxおよびXbox Wireless Controllerの修正対応も挙げられます。Xboxの場合、認証されていない攻撃者が、Wi-Fiネットワークアダプターを使用する隣接するコンソールに不正なネットワークパケットを送信することで、リモートコード実行を行うことが可能となります。Xbox Wireless Controllerも同じシナリオでの悪用が指摘されています。いずれも攻撃実行に際しては攻撃者が物理的に近い場所にいる必要があります。
今回、特権昇格の脆弱性関連では、数十件の修正対応が含まれていますが、そのほとんどは、悪用に際しては、認証されたユーザが特別に細工されたコードを実行した場合にSYSTEMレベルのコード実行または管理者権限の取得につながるケースとなります。Text Services Frameworkの脆弱性では、悪用されると、サンドボックスやAppContainerからの脱出に使用される可能性があります。Defender for IoTの脆弱性も、悪用されると、AppContainerからの脱出に使用される可能性があります。その他、PowerShellにおける脆弱性2件では、悪用されると、攻撃者が制限されたユーザから制限のないWDACユーザになることが可能となります。PowerShellはしばしば攻撃後の水平移動・内部活動に使用されるため、この手法は「環境寄生型の攻撃」を行う者にとって便利でしょう。Workstation Serviceの脆弱性では、悪用されると、攻撃者がサービスの重要な構造を上書きし、任意のメモリ書き込みや制御フローの乗っ取りにつながる可能性があります。これは一般的な手法ではないものの、特権昇格につながる可能性があります。Azure CycleCloudの脆弱性では、悪用されると、認証されたユーザが影響を受けるAzure CycleCloudインスタンスで管理者ロールに昇格できる可能性があります。このコンポーネントを使用している場合は、対処策としてCycleCloud VMを更新する必要があります。そのプロセスに慣れていない場合は、Microsoftが提供するガイダンスを参照してください。
また、セキュリティ機能バイパス関連の脆弱性への修正対応も約20件あり、もはやセキュアブートというコンポーネント名を返上すべき状況といえるかもしれません。4月に23件の修正対応があり、今月さらに20件あることを考えると、もはや「セキュア」なブートとは呼べないでしょう。さらに悪いことに、これらのうち2件を除いてすべてが、ターゲットへのLANアクセスを持つ隣接する攻撃者によって悪用される可能性があります。その意味では、この機能は「セキュアブート」ではなく単に「保護されたブート」と呼ぶべきかもしれません。BitLockerのセキュリティ機能バイパス関連の脆弱性でも、物理的なアクセスを必要としますが、BitLockerは、この種の攻撃を防ぐように特別に設計されている点では深刻といえます。暗号化サービスにおけるセキュリティ機能バイパス関連の脆弱性では、悪用に際してSHA1ハッシュ衝突が必要となっています。また、Windows Enroll Engineの脆弱性では、悪用されると、攻撃者が登録プロセス中に証明書の検証を回避できる可能性がありますが、実際の悪用は複雑になるようです。
今月修正対応された情報漏えい関連の脆弱性は9件のみで、そのほとんどは未指定のメモリ内容の情報漏えいに関するものに限定されています。例外は2件だけであり、オンプレミス版のDynamics 365の脆弱性は、悪用されると、Dataverseの基礎となるデータセットに保存されているデータを漏えいさせる可能性があります。このデータには個人を特定できる情報(PII)が含まれるかもしれません。もう一つSharePointの脆弱性では、悪用されると、ID、トークン、暗号化ノンス、またはその他の機密情報を含む、ターゲットとなったウェブサイトからのデータを漏えいされる可能性があります。
今月のリリースではかなりの数のDoS攻撃関連の脆弱性が含まれていますが、Microsoft社はその詳細についてほとんど情報を提供していません。少なくとも、これらがブルースクリーンを引き起こすのか、単にサービスレベルのDoS攻撃なのかを知ることができれば有用な情報となります。iSCSIサービスとLayer-2 Bridge Network driverの脆弱性では、悪用に際して攻撃者が隣接している必要があることは分かっています。Line Printer Daemon ServiceとNetwork Driver Interface Specificationの脆弱性も同様な条件となっています。なお、Remote Desktop Licensing ServiceのDoS攻撃関連脆弱性の一つは、パッチ適用以外の追加の手順が必要となっています。Microsoft社によると「RDセッションホストとRDライセンシングサーバがワークグループに参加している場合は、RDセッションホストがRDライセンシングサーバにアクセスするために必要な資格情報を持っていることを確認する必要があります」と説明しています。これに関する追加情報は同社の公式ドキュメントで見つけることができます。
今月、なりすまし関連の脆弱性もいくつか指摘されています。恐らくこれらの中で最も重要なのものは、NTLMリレー攻撃につながる可能性のあるOutlookの脆弱性でしょう。幸いなことに、この場合、プレビューペインは攻撃経路ではないようです。詳細は具体的には述べられていませんが、NTLMにおけるなりすまし関連の脆弱性も同じことが言えると思われます。さらに、Themesのなりすまし関連の脆弱性についても、Microsoft社がNTLMを無効にすることを回避策として挙げていることから、同じ状況だと推測されます。なお、Azure DevOps Serverにおける脆弱性は、なりすまし関連として記載されていますが、DoSや情報漏えいにも悪用される可能性があります。
今月のリリースには新しいセキュリティアドバイザリはありませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2024年8月13日になります。当日はBlack HatとDEFCONにも参加する予定ですが、その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年7月発表の全リスト
2024年7月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE JULY 2024 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)