エクスプロイト&脆弱性
2024年8月 セキュリティアップデート解説:Microsoft社は102件、Adobe社は71件の脆弱性に対応
2024年8月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年8月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年8月Adobe社からのセキュリティアップデート
2024年8月、Adobe社は11件のセキュリティ情報を公開し、Adobe Illustratorなど複数の製品における71件の脆弱性に対処しました。これらの脆弱性のうち14件はZDIプログラムを通じて報告されました。最大規模のアップデートはAdobe Commerceで、深刻度が「緊急」とされるコード実行の脆弱性の修正が複数含まれています。InDesignへの修正パッチでも多くのコード実行関連の脆弱性が修正されています。しかし、おそらく最も懸念されるのはAcrobat and Readerのアップデートでしょう。不正に作成されたPDFがランサムウェアでよく使用されるからです。
Photoshop、Substance 3D Stager、InCopy、Substance 3D Designerへの修正は、それぞれコード実行につながる可能性のある深刻度「緊急」の単一の脆弱性に対処しています。Illustratorの修正パッチでは7件の脆弱性を修正していますが、そのほとんどが深刻度「重要」のものです。Dimensionへの修正パッチでは3件の「緊急」と3件の「重要」な脆弱性があります。ZDIのMat Powell氏からは、Adobe Bridgeで修正された3件の脆弱性が報告されました。2024年8月、同社からの最後の修正パッチはSubstance 3D Samplerへの対応で、4件の脆弱性が修正されています。
Adobe社が今月修正した脆弱性のうち、リリース時点で周知されているものや攻撃に悪用されているものはありません。同社は今回のアップデートの展開優先度を「3」に分類しています。
2024年8月Microsoft社からのセキュリティアップデート
2024年8月、Microsoft社はWindows及びWindowsコンポーネント、Office及びOfficeコンポーネント、.NET及びVisual Studio、Azure、Co-Pilot、Microsoft Dynamics、Teams、そしてSecure Bootにおいて90件の新たな脆弱性への対応をリリースしました。サードパーティの脆弱性も含めると、脆弱性の総数は102件になります。これらの脆弱性のうち4件はZDIプログラムを通じて報告され、そのうちの1件は攻撃での悪用が確認されています。
今日リリースされた修正パッチのうち、7件が深刻度「緊急」、79件が「重要」、1件が「中程度」です。これは最大規模のリリースではありませんが、1回のリリースでこれほど多くの脆弱性が公開されている、または攻撃に悪用されているケースは珍しいと言えます。
これらの脆弱性のうち4件が周知されており、他の6件が攻撃に悪用されています。以下、これらのアップデートのいくつかについて、現在悪用されている脆弱性から詳しく見ていきましょう。
CVE-2024-38178 - スクリプティングエンジンのメモリ破損の脆弱性
この脆弱性はやや異例で、悪用される場合、ターゲットがInternet ExplorerモードでEdgeを使用している必要があります。IEの長い影響がまた問題を引き起こしているようです。EdgeがIEモードになると、ユーザがリンクをクリックするだけでコード実行が可能になります。今回の対応では、一般に利用可能ではないWindows 11 v24H2の修正も含まれています。また、Copilot+デバイスもこのWindowsバージョンで出荷されているため、このアップデートが行われています。
CVE-2024-38193 - WinSock用Windows補助関数ドライバーの特権昇格の脆弱性
この特権昇格の脆弱性が悪用されると、攻撃者はSYSTEM権限でのコード実行が可能となります。このタイプの脆弱性は通常、ターゲットを乗っ取るためにコード実行の脆弱性と組み合わせて使用されます。Microsoft社は、この脆弱性がどの程度広く悪用されているかについて示していませんが、この特徴を考えると、まだランサムウェアに使用されていないとしても、すぐにそうなる可能性が高いでしょう。
CVE-2024-38106 - Windowsカーネルの特権昇格の脆弱性
これはすでに攻撃に悪用されている別の特権昇格の脆弱性で、SYSTEM権限につながります。Microsoft社は、攻撃者への牽制も意図してか、脆弱性悪用の複雑さが高いとしていますが、悪用しやすいケースとも解釈できます。このような場合のCVSSスコアは誤解を招く可能性があります。牽制も意図してCVSSスコアの高さで複雑さが示されても、実際に攻撃が行われていることを考えると、容易に悪用可能であることも明らかと言えるからです。
CVE-2024-38107 - Windows電源依存関係コーディネーターの特権昇格の脆弱性
これも実際に悪用されているSYSTEM権限につながる特権昇格の脆弱性です。電源依存関係コーディネーター(PDC)に馴染みがない方のために説明すると、これはModern Standbyのコンポーネントです。その目的はデバイスがスリープから「瞬時に」起動できるようにすることで、Windows 8から導入されました。また、機能を追加することでアタックサーフェスが増える可能性も示唆しています。
CVE-2024-38189 - Microsoft Projectのリモートコード実行の脆弱性
Projectでコード実行の脆弱性が確認されるのは珍しいですが、今回はこの1件が確認されただけでなく、実際に悪用もされています。ほとんどの場合、悪用に際して「開いて感染させる(open-and-own)」タイプの脆弱性ですが、この脆弱性では、悪用に際してインターネットからマクロを実行することが許可されてしまい、また、VBAマクロ通知設定を無効にする必要があります。従ってこのような設定の場合、直ちに対処してください。インターネットからのOffice製品でのマクロの実行をブロックする方法については、こちらのガイダンスをご覧ください。そして、疑わしいリソースからランダムなProjectファイルを開いている場合は、フィッシング対策訓練をもう一度受けることをお勧めします。
その他の脆弱性
攻撃で悪用されている6件目については、発見者でZDIのリサーチャーであるPeter Girnus氏による詳細な報告が後日なされる予定です。
その他のコード実行関連の脆弱性に目を向けると、まず3件の異なるCVSS 9.8の脆弱性が注目されます。最も深刻なものは、おそらくTCP/IPの脆弱性で、悪用されると、リモートの未認証の攻撃者が、特別に細工されたIPv6パケットの影響を受けるターゲットに送信するだけで、特権のあるコード実行を可能にします。つまり、ワーム化が可能になるということです。この攻撃を防ぐためにIPv6を無効にすることはできますが、IPv6はほぼすべてのシステムにおいてデフォルトで有効になっているため注意が必要です。Reliable Multicast Transport Driver(RMCAST)の脆弱性も同様の攻撃シナリオですが、この場合、PGMでレシーバーとしてリスニングしているサービスが必要であり、悪用の可能性は低いと言えます。Line Printer Daemon(LPD)にも同様の結果をもたらす脆弱性がありますが、LPDはデフォルトでインストールされていません(そしてインターネットからアクセス可能であってはいけません)。そのため、CVSS 9.8の評価にもかかわらず、「緊急」ではなく「重要」とリストされています。しかし、LPDを実行している場合は、確実に「緊急」のアップデートとして扱ってください。
その他のコード実行の脆弱性を見ると、ほとんどは一般的なものに限定されています。Office関連の脆弱性は典型的な「開いて感染させる(open-and-own)」タイプの脆弱性が多く見られます。注目すべき1件はOutlookへの修正パッチです。この場合、プレビューペインが攻撃経路となっていますが、悪用のためには攻撃者はターゲットのOutlookアカウントへのアクセスが必要となります。ネットワーク仮想化コンポーネントの脆弱性2件も注意が必要でしょう。Microsoft社は、「メモリ記述子リスト(MDL)の内容を操作することで、攻撃者は不正なメモリ書き込みを引き起こしたり、現在使用中の有効なブロックを解放したりして、重大なゲストからホストへのエスケープにつながる可能性がある」と述べています。仮想化を使用している場合は、確実にテストして迅速に修正を適用してください。Mobile Broadband Driverの脆弱性の場合は、悪用に際して物理的なアクセスが必要です。また、ルーティングプロトコルにも多くのリモートコード実行の脆弱性がありますが、これらの多くは古いプロトコルで、悪用の可能性は非常に低いでしょう。SmartScreenの脆弱性にも注意を払うべきです。これは過去の事例からも悪用される可能性の高い脆弱性であることが証明されています。最後に、Azure CycleCloudの脆弱性では、悪用されると、認証された攻撃者がストレージアカウントの認証情報とランタイムデータを取得できる可能性があります。これらは、CycleCloudインスタンス内の任意のクラスタでリモートコード実行を得るための不正なスクリプトを作成するために使用される可能性があります。
特権昇格関連では、既に言及したものを含め、36件の修正対応が報告されています。これらのほとんどは、認証されたユーザが特別に細工されたコードを実行した場合、SYSTEMレベルのコード実行または管理者権限につながります。また、Azure Health Botのようないくつかのクラウドベースの脆弱性がありますが、これらは対応を必要とせず、単に公にドキュメント化されているだけです。カーネルモードドライバーの脆弱性1件は、サンドボックスエスケープの手口に使用される可能性があります。Azure Stack Hubの脆弱性では、悪用に際してソーシャルエンジニアリングの手口が必要となる可能性があります。この場合、攻撃者が不正なJSONファイルをターゲットに送信する必要がありますが、ターゲットがそれを開いて確認しないことが条件であるため、悪用実現の可能性は低そうです。
特権昇格の脆弱性に関する大きなニュースは、Black HatとDEFCONのイベントから報告されています。この場合、リサーチャーがOSの特定のファイルを脆弱な状態にダウングレードするという悪用手法を発表しました。他の製品でこうしたダウングレード攻撃を見たことがありますが、Secure Kernel Mode コンポーネントでこのような攻撃が確認されるのは確かに興味深い調査と言えます。このリサーチャーは、アップデートスタックでもダウングレード攻撃を実証しました。この調査は公開されていますが、今のところこれらの脆弱性を標的とする既知の悪用はありません。
Hacker Summer Campのイベントで報告された脆弱性について言えば、なりすまし関連の脆弱性5件への修正のうちの1件は実際に8月8日にドキュメント化され、Officeのなりすまし関連の脆弱性として掲載され、悪用されると、最終的にNTLMリレーの手口につながります。また、まだ公式の修正はありませんが、Microsoft社はFeature Flightingの変更により、「サポート対象のすべてのMicrosoft Office及びMicrosoft 365バージョン」では影響を受けないとも述べています。いずれにしても修正パッチが利用可能になったら、迅速にテストと更新を行うべきでしょう。Azure Stack Hubの脆弱性は単純なクロスサイトスクリプティング(XSS)の脆弱性です。また、iOS用Teamsの脆弱性は、悪用されると、攻撃者がTeams内で他人になりすますことが可能となります。これに対処するには、更新されたクライアントをダウンロードする必要があります。App Installerの脆弱性は、ユーザを騙してインストールするつもりのないソフトウェアをインストールさせる可能性があります。DNSのなりすましの脆弱性については詳細な情報は提供されていませんが、これらは通常、悪用されると、DNSサーバがクエリに対して偽の結果を提供することが可能となります。
情報漏えい関連では脆弱性9件のみの対応となっており、ほとんどが未指定のメモリ内容からなる情報漏えいに至るだけのもとなっています。ただしいくつかの例外があり、RRASの脆弱性では、悪用されると、常に曖昧な「機密情報」が暴露される可能性があります。Copilotの脆弱性も機密情報を暴露する可能性がありますが、これはすでに修正されており、単にドキュメント化されているだけです。.NETとVisual Studioの脆弱性は、ターゲットのメールを暴露する可能性がありますが、攻撃シナリオは明確ではありません。またEdge(Chromiumベース)の脆弱性は興味深く、この場合、悪用されると、EdgeのWebUI権限が公開される可能性があります。これにより、マイクやカメラからのターゲットデータにアクセスできるようになります。
DoS攻撃関連の脆弱性も何件かへの修正対応が報告されています。ただし、Microsoft社はこれらの脆弱性に関する追加情報を提供していません。
また、定義の不明確な「改ざん」のカテゴリーに脆弱性1件が報告されています。この場合、悪用されるには、特別に細工されたファイルをユーザが開く必要がありますが、攻撃経路としてネットワークも掲載されています。おそらく特別に細工されたファイルは共有ドライブ上にある必要があるということかもしれません。この点についてMicrosoft社は改ざん結果の詳細は提供していません。ただし、圧縮ファイルがEDR/XDRの検出を回避するように細工される可能性も懸念されます。過去にランサムウェアで同様の手口が使用されているのを見たことがありますが、Microsoft社からの詳細情報がないため、これはすべて推測に過ぎません。
クロスサイトスクリプティング 関連の脆弱性では、Microsoft Dynamics(オンプレミス)における脆弱性2件が報告されています。
今月のリリースには新しいアドバイザリはありませんが、サービシングスタックの更新がありました。
次回のセキュリティアップデート
次回のパッチチューズデーは2024年9月10日になります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年8月発表の全リスト
2024年8月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The August 2024 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)