エクスプロイト&脆弱性
2024年9月 セキュリティアップデート解説:Microsoft社は79件、Adobe社は28件の脆弱性に対応
2024年9月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年9月の第2火曜日のため、最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年9月Adobe社からのセキュリティアップデート
2024年9月、Adobe社は8件のセキュリティ情報を公開しました。これらは、Adobe AcrobatとReader、ColdFusion、Photoshop、Media Encoder、Audition、After Effects、Premier Pro、Illustratorにおける28件の脆弱性に対処するものです。このうち7件はZDIプログラムを通じて報告されました。優先順位をつけるなら、まずColdFusionの修正パッチに注目すべきでしょう。これはCVSS 9.8と評価された深刻なコード実行の脆弱性への修正となります。AcrobatとReaderの修正パッチが2か月連続で出るのは珍しいことと言えますが、今回「緊急」にされたこれら脆弱性2件は先月のリリースに間に合わなかったようです。また、Photoshopでは5件の脆弱性が修正され、そのうち4件が「緊急」に分類されています。Illustratorの修正パッチは6件の脆弱性を修正し、そのうち4件が「緊急」に分類されたコード実行の脆弱性です。
Premier Proの更新では、「緊急」の脆弱性1件と「警告」の脆弱性1件が修正されました。After Effectsの修正は5件の脆弱性に対処しており、そのうち2件はZDIのリサーチャーMat Powell氏によって発見されました。同氏はまた、Auditionにおける「緊急」の脆弱性も報告しています。最後に、Media Encoderでは5件の脆弱性が修正され、そのうち2件が「緊急」と分類されています。
Adobe社が今月修正した脆弱性のうち、リリース時点で周知されていたものや実際に攻撃に悪用されているものはありませんでした。同社は、今回の更新プログラムの適用優先度を3としています。
2024年9月Microsoft社からのセキュリティアップデート
2024年9月、Microsoft社は79件の新たな脆弱性に対する修正パッチをリリースしました。これらは、Windows本体とその関連コンポーネント、Office本体とその関連コンポーネント、Azure、Dynamics Business Central、SQL Server、Windows Hyper-V、Mark of the Web (MOTW)、そしてリモートデスクトップライセンスサービスに関するものです。このうち4件の脆弱性はZDIプログラムを通じて報告されました。
今回リリースされた修正パッチの内訳は、「緊急」が7件、「重要」が71件、「警告」が1件となっています。今回のリリース規模は先月とほぼ同じですが、現在攻撃に悪用されている脆弱性の数がこれほど多いのは異例のことです。
これらの脆弱性のうち1件が既に周知されており、さらに4件が現在攻撃に悪用されていると報告されています。ただし、ZDIの見解では、実際に攻撃に使われている脆弱性は5件であると考えています。この点については後ほど詳しく説明します。では、今月の注目すべき更新プログラムについて、現在悪用されている脆弱性から見ていきましょう。
CVE-2024-43491 - Microsoft Windows Update リモートコード実行の脆弱性
これは珍しい脆弱性と言えます。一見するとBlack Hatで議論されたような「ダウングレード攻撃」に見えますが、実際にはWindows 10システムのオプション機能に影響を与えるサービススタックの更新により発生したものです。IT管理者は、サービススタック更新プログラム(KB5043936)とこのセキュリティ更新プログラム(KB5043083)の両方をインストールして、完全に対処する必要があります。興味深いのは、この脆弱性自体は悪用されていないものの、一部のオプション機能が攻撃される可能性を生んだことです。唯一の救いは、影響を受ける対象はWindows 10システムの一部だけということです。Microsoft社の説明を確認して影響の有無を確認し、テスト後、迅速に更新プログラムを適用してください。
CVE-2024-38226 - Microsoft Publisher セキュリティ機能バイパスの脆弱性
攻撃手法の創意工夫には、レッドチームであろうと、攻撃者であろうと、いつも驚かされます。Microsoft Publisherのマクロを悪用する手法はなかなか思いつくものではありません。筆者はこのプログラムの存在などすっかり忘れていましたが、現実には攻撃が確認されています。この攻撃は、特別に細工されたファイルが影響を受けるPublisherのバージョンで開かれることで行われます。この場合、攻撃者はターゲットのユーザにファイルを開かせる必要がありますが、実際に開封されると、Officeのマクロポリシーをすり抜けてターゲットシステム上でのコード実行が可能となります。
CVE-2024-38217 - Windows Mark of the Web セキュリティ機能バイパスの脆弱性
ここ数ヶ月、MoTWのバイパスについて多く話してきましたが、まだまだ話題は尽きないようです。今月は2つのMoTWバイパスが修正されていますが、攻撃に悪用されているのはこの脆弱性だけです。Microsoft社は攻撃の詳細を明かしていませんが、過去にMoTWバイパスは暗号資産取引者を狙うランサムウェア集団と関連付けられていました。この脆弱性は既に周知されているとも記載されていますが、その詳細も明らかにされていません。
CVE-2024-38014 - Windows インストーラー特権昇格の脆弱性
こちらは、SYSTEM権限を奪取できる特権昇格の脆弱性であり、実際に攻撃に悪用されています。攻撃者がインストーラーの中に別のインストーラーを仕込むのは巧妙な手法と言えます。興味深いことに、Microsoft社はこの脆弱性の悪用にユーザの操作は不要と述べており、実際の攻撃方法はもっと複雑かもしれません。とはいえ、このような特権昇格の脆弱性は通常、システムを乗っ取るためにコード実行の脆弱性と組み合わせて使用されます。迅速にテストして修正プログラムを適用してください。
CVE-2024-43461 - Windows MSHTML プラットフォームのなりすましの脆弱性
この脆弱性は、ZDIの報告により2024年7月に修正された脆弱性と似ています。ZDIの脅威ハンティングチームがこの攻撃を実環境で発見し、2024年6月にMicrosoftに報告したものです。今回のケースは、攻撃者が以前の修正パッチをすぐにすり抜けたものであるようです。Microsoft社にこの脆弱性を報告した際、ZDIからは「攻撃に悪用されている」とも指摘していました。Microsoft社がなぜこの脆弱性について攻撃下にあると記載していないのか不明ですが、特にすべてのサポート中のWindowsバージョンに影響を与えるため、そのように扱うべきだと言えます。
その他の脆弱性
「緊急」に分類された他の脆弱性に目を向けると、SharePointの脆弱性が注目されます。ZDIのリサーチャーPiotr Bazydło氏が発見したこの脆弱性は、サービスアカウントの権限でコードを実行される可能性があります。具体的には、SPThemesクラスのシリアル化されたインスタンスの処理に問題があります。ユーザが提供したデータの適切な検証が行われないため、信頼できないデータがデシリアライズされる恐れがあります。SharePointにはもう一つ「緊急」に分類された修正対応がありますが、こちらはサイト所有者の権限が必要です。Azure Stack Hubには2件の脆弱性があり、攻撃者が他のテナントのアプリやコンテンツにアクセスできる可能性がありますが、標的側が先に接続を開始する必要があります。NATには未認証のコード実行を許す脆弱性がありますが、攻撃者はまず制限されたネットワークにアクセスする必要があります(NATは通常ルーティングできないため)。その他、最後に「緊急」として分類された脆弱性も、既にMicrosoftが対策を講じ、公開ドキュメント化されています。
その他のリモートコード実行関連の脆弱性では、TCP/IPの2件が注目されます。特に先月修正されたTCPの厄介な脆弱性を考えると特筆すべきでしょう。ただし、これらはデフォルト以外の設定が必要なため、大きな影響を与える可能性は低いとも言えます。NetNATを設定している企業や組織は、この更新を迅速にテストし適用すべきです。リモートデスクトップライセンスサービスには4つのコード実行の脆弱性がありますが、すべて認証が必要です。SQL Server Native Scoringには6件の修正対応があり、興味深い攻撃シナリオとなっています。Microsoft社によると、攻撃には「認証された攻撃者がSQL Server Native Scoringを利用し、データをデータベースから移動せずに事前学習済みモデルを適用する必要がある」と述べています。更新の適用も複雑で、アプリがMicrosoft OLE DBドライバー18か19と互換性があるか、サードパーティベンダーに確認が必要かもしれません。この説明だけではかなり難解であり、このような脆弱性を見ると、「ただ修正パッチを当てればいい」ということが簡単ではないという現実を再認識させられます。
Azure CycleCloudの脆弱性は、一般ユーザが特別に細工したリクエストを送ることで、Azure CycleCloudクラスターの設定を変更し、管理者レベルの権限を得られるため、特権昇格と似ています。SharePointにはさらに2件の修正対応がありますが、「緊急」ではなく「重要」とされています。ただし、「緊急」に分類された脆弱性と不思議なほど似ています。Power Automate Desktopの修正対応は、Windows Storeで入手可能ですが、Windows Storeからの更新を無効にしている場合は手動で適用する必要があります。その他のリモートコード実行関連の脆弱性は、ファイルを開くだけで攻撃される典型的なタイプです。
今回のリリースでは、既に言及したものを含め、30件に及ぶ特権昇格関連の修正対応が含まれています。ただし、そのほとんどは、認証済みユーザが特別に細工したコードを実行した場合にのみ、システムレベルのコード実行や管理者権限取得につながるものとなっています。SQL Serverの脆弱性は、上述のような修正の問題を抱えており、SQL Server管理者にとっては厄介な月になりそうです。PowerShellの脆弱性では、悪用されると、一般ユーザが制限のないWDACユーザに昇格できる可能性があります。
既に触れたものに加えて、今月はセキュリティ機能バイパスの脆弱性が2件修正されています。どちらもウェブブラウジングに関連しています。1つ目はWindows セキュリティゾーンマッピングに関するもので、悪用されると、攻撃者がより高い権限を持つゾーンに属すると解釈されるURLを作成できる可能性があります。もう1つはMoTW SmartScreenのバイパスです。これは公開されているとは記載されていませんが、現在非常に流行している手法となっています。
情報漏えい関連では、11件の脆弱性への修正対応が含まれています。幸い、ほとんどは特定されていないメモリ内容の情報漏えいに留まっています。ただし、2つの例外があります。リモートデスクトップライセンスサービスの脆弱性では、悪用されると、常に曖昧な「機密情報」が漏えいする可能性があります。iOS版Outlookの脆弱性では、悪用により、攻撃者が「ファイルの内容」を読み取ることが可能となります。ただし、ランダムなファイル内容なのか、攻撃者が指定したファイルなのかは不明です。なお、iOSデバイスで自動更新を有効にしていない場合は、App Storeからこの更新を入手する必要があります。
現在攻撃に悪用されているなりすましの脆弱性に加えて、Windows リモートデスクトップライセンスサービスのなりすましバグも修正されています。ただしMicrosoft社は、何になりすまされるのかは明記していませんが、攻撃者がターミナルサーバライセンスサービスにリクエストを送信できる必要があると述べています。これはインターネットからアクセスできないはずですが、今回の対応がそうした事実を確認する良い機会ともなるでしょう。
DoS攻撃関連の修正対応も含まれています。Microsoft社は、これらの脆弱性に関する詳細をほとんど提供していませんが、いくつかの手がかりはあります。例えば、Windows ネットワーキングへの修正対応の1つでは、LANアクセス権を持つ未認証の攻撃者がこの脆弱性を悪用できると記されています。しかし、Windows ネットワークの他の修正では、攻撃経路が「隣接」ではなく「ネットワーク」としており、攻撃者は、未認証で悪用可能だとも考えられます。DHCPサーバにおけるDoS攻撃関連の脆弱性では、悪用されると、サービスがシャットダウンされる可能性がありますが、この被害が永続的なのか一時的なのかは明確ではありません。Hyper-VにおけるDoS攻撃関連の脆弱性では、悪用されると、ゲストOSの攻撃者がホストOSの機能に影響を与える可能性があることは分かっています。
そして最後は、Microsoft Dynamics(オンプレミス版)におけるクロスサイトスクリプティング(XSS)関連の脆弱性1件の修正でこのリリースは締めくくられています。
今月のリリースには新しいアドバイザリはありませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは2024年10月8日になります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年9月発表の全リスト
2024年9月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The September 2024 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)