エクスプロイト&脆弱性
2024年10月 セキュリティアップデート解説:Microsoft社は121件、Adobe社は52件の脆弱性に対応
2024年10月の最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年10月の最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年10月Adobe社からのセキュリティアップデート
今月、Adobe社は9つのパッチをリリースし、Adobe Substance 3D Painter、Commerce、Dimension、Animate、Lightroom、InCopy、InDesign、Substance 3D Stager、Adobe FrameMakerにおける52件の脆弱性に対処しました。これらの脆弱性のうち2件はZDIプログラムを通じて報告されたものです。
最大かつ最も緊急を要するパッチは、Adobe Commerceの22件の脆弱性に対応するもので、深刻度が「緊急」のリモートコード実行の脆弱性への修正が含まれています。周知されているわけでも攻撃で悪用されているわけでもないようですが、Adobe社はこれを優先度2としています。
Dimensionのアップデートでは、コード実行につながる可能性のある2つの重大な脆弱性が修正されました。Animateの修正では11件の脆弱性に対処し、その中にはリモートコード実行につながるものも含まれています。
Substance 3D Stagerのパッチは8つの脆弱性に対応しており、すべてが深刻度「緊急」でリモートコード実行に悪用される可能性があります。FrameMakerの修正で対処された5つの脆弱性もすべて深刻度「緊急」のリモートコード実行関連の脆弱性です。
残りのセキュリティ情報はそれぞれ1つの脆弱性のみに対応しています。Substance 3D Painterのメモリリーク関連は深刻度「重要」と評価されており、Lightroomのパッチも同様となっています。InCopyのパッチは深刻度「緊急」の無制限アップロードを引き起こす脆弱性を修正しており、InDesignの修正も同じ問題に対処しています。
Adobe社が今月修正した脆弱性の中で、リリース時点で周知されているものや攻撃に悪用されているものはありません。Commerceの修正を除き、Adobe社はこれらのアップデートの展開優先度を3としています。
2024年10月Microsoft社からのセキュリティアップデート
今月、Microsoft社は117件の新たな脆弱性に対するパッチをリリースしました。これらはWindowsとその関連コンポーネント、Officeとその関連コンポーネント、Azure、.NETとVisual Studio、Windows 用 OpenSSH、Power BI、Windows Hyper-V、Windowsモバイルブロードバンドに関するものです。これらの脆弱性のうち1件はZDIプログラムを通じて報告されました。サードパーティの脆弱性を含めると、今回のリリースは合計121件に達しています。
今回リリースされたパッチの内訳は、深刻度「緊急」が3件、「重要」が115件、「警告」が2件となっています。これはMicrosoft社にとって今年3回目の3桁数のリリースであり、2023年に修正された 脆弱性数を上回るペースで進んでいます。ただし、幸いなことに、2020年に記録した過去最高のペースにはまだ及んでいません。
これらの脆弱性のうち5件がすでに周知されており、そのうち2件はリリース時点で実際に攻撃に悪用されているとされています。それでは、今月の注目すべきアップデートのいくつかを現在悪用されている脆弱性から詳しく見ていきましょう。
CVE-2024-43573 - Windows MSHTMLプラットフォームのなりすまし脆弱性
深刻度は「警告」とされていますが、これは今月、実際に攻撃に悪用されている脆弱性の一つです。この脆弱性は、2004年7月に同じコンポーネントで修正された脆弱性とよく似ており、その脆弱性はVoid Bansheeという攻撃グループに使われていました。その脆弱性の詳細な分析はこちらでご覧いただけます。Microsoft社は同じグループによる攻撃かどうか言及していませんが、言明はされていないものの、前回のパッチが不十分だったのではないかと思われます。いずれにせよ、深刻度だけで判断せず、このアップデートを速やかにテストし、適用することをお勧めします。
CVE-2024-43572 - Microsoft管理コンソールにおけるリモートコード実行の脆弱性
こちらも深刻度は「警告」ですが、実際に攻撃に使われているとされている脆弱性です。この脆弱性の場合、攻撃者が不正なMMCスナップインを送り、ユーザにそのファイルを開かせる必要があります。一見起こりにくいように思えますが、実際に発生しています。Microsoft社はこの攻撃の規模について言及していませんが、この脆弱性を悪用するにはかなりのソーシャルエンジニアリングが必要なため、現時点では標的を絞った限定的な攻撃だと考えられます。とはいえ、管理者が不正なスナップインを開いた場合の被害の大きさを考えると、このアップデートも速やかにテストし、適用すべきでしょう。
CVE-2024-43468 - Microsoft Configuration Managerにおけるリモートコード実行の脆弱性
上述の「MMC(Microsoft Management Console)」とは別物なので注意してください。これは「Configuration Manager」の脆弱性であり、悪用される場合、ユーザの操作を必要としません。このCVSS 9.8の脆弱性であり、リモートの認証されていない攻撃者が特別に細工したリクエストを送ることで、ターゲットサーバ上で任意のコードを実行できる可能性があります。パッチに加えて、コンソール内アップデートをインストールする必要があります。Microsoft社は影響を受ける方向けに、このガイドを提供しています。これは「パッチを当てれば大丈夫」という考えが短絡的である理由の一例ともいえます。
CVE-2024-43582 - リモートデスクトッププロトコルサーバにおけるリモートコード実行の脆弱性
この脆弱性も、悪用されるとリモート認証されていない攻撃者が、特別に細工した RPC リクエストを送るだけで、高い権限で任意のコードを実行できてしまいます。Microsoft社は、悪用に際しては様々な攻撃者が競合状態に勝つ必要があるとも指摘していますが、ZDIではPwn2Ownのコンテストを通じて、こうした競合状態を突破する例をたくさん見てきました。この脆弱性はワーム化に悪用されることも可能ですが、実際の攻撃でワーム化する可能性は低いでしょう。RPCは通常、ネットワークの境界でブロックされているはずですが、そうでない場合は今すぐ確認することをお勧めします。これにより悪用被害は内部システムだけに限定されますが、組織内での水平移動・内部活動にも使われる可能性がある点は留意が必要です。
その他の脆弱性
今月、「緊急」と評価されているのは、Arduino用のVisual Studio Code拡張機能の脆弱性だけです。ただし、Microsoft社はすでにこの問題を解決しており、単にこの脆弱性を記録しているだけなので、ユーザが緊急に対応する必要はありません。
リモートコード実行関連:
リモートコード実行関連では、他に39件の脆弱性が挙げられます。その多くはOfficeやその他のコンポーネントで見られる「開いただけで感染する」タイプのものです。ルーティングおよびリモートアクセスサービス(RRAS)に影響を与える脆弱性が12件ありますが、リモートの攻撃者が引き起こせるのはそのうちの数件だけです。他の脆弱性は、悪用に際してクライアントが不正なサーバに接続しようとする必要があります。Linux向けAzure Service Fabricのパッチは、攻撃するには特別な権限が必要です。
オープンソースの深層学習最適化ライブラリであるDeepSpeedにコード実行脆弱性がありますが、Microsoft社は詳細を明かしていません。これはこのコンポーネントで初めて報告された脆弱性のようです。Windows用OpenSSHには3つの脆弱性がありますが、いずれもユーザの広範な操作が必要で、悪用される可能性は低いでしょう。RDPクライアントの2つの脆弱性は、悪用される場合、不正なRDPサーバに接続する必要があり、こちらも起こりそうにありません。Windows Telephonyの脆弱性も、悪用される場合、不正なサーバに接続する必要があります。
Hyper-Vにおけるリモートコード実行脆弱性は、影響範囲はある程度限定的であるものの、特筆に値するものといえます。この場合、悪用されると、ゲストOSが別のゲストOSに対してリモートでコードを実行できる可能性がありますが、同じHyper-Vサーバ上にないシステムではコードを実行できません。また、リモートデスクトップライセンスサーバの脆弱性では、悪用に際して認証が必要となっています。その他、リモートコード実行の脆弱性としてモバイルブロードバンドドライバーの6件への修正が挙げられます。興味深いことに、これら6件はすべて、悪用に際して攻撃者は、不正なUSBドライバの影響を受けるシステムにUSBデバイスを物理的に挿入する必要があります。
特権昇格関連:
特権昇格関連では、20件以上の脆弱性への修正対応が含まれています。ただしこれらのほとんどは、認証されたユーザが特別に細工されたコードを実行した場合、SYSTEMレベルのコード実行または管理者権限につながる程度のものとなっています。
ただし、いくつか注目すべきものがあり、特にNetlogonにおける脆弱性が特筆されます。この脆弱性の悪用では、隣接する攻撃者が、ドメインコントローラーが追加されたときの命名規則を予測できる場合、ドメインコントローラーになりすますことができます。これは起こりにくい悪用シナリオといえますが、このような珍しいケースを見つけた点は賞賛に値します。
Azure Command Line Integrationにおける特権昇格の脆弱性では、悪用される場合、攻撃者が「Security Admin」または「Contributor」のいずれかの役割を持っている必要がありますが、いずれにしても悪用されるとSYSTEMレベルのアクセスにつながる可能性があります。また、NT OSカーネルにおける脆弱性では、悪用されると、カーネルメモリへのアクセスにつながる可能性があり、これは情報漏えい関連の脆弱性のようにも見えます。
その他、Android版Outlookの脆弱性では、不正な会議または予定の招待を開かせることでSYSTEMレベルの権限を得られます。巧みなソーシャルエンジニアリングの手口によるメールや会議依頼への注意喚起ともいえます。
セキュリティ機能バイパス関連:
セキュリティ機能バイパスの脆弱性がいくつかあり、BitLockerへの修正対応が特筆されます。また、Windows Server 2012 R2の脆弱性の場合、保護されるためには先にKB2919355をインストールする必要があります。Windows Resume Extensible Firmware Interfaceでは、3つの異なるセキュリティ機能バイパス関連脆弱性があり、いずれも悪用されると、ローカルの攻撃者がセキュアブートをバイパスすることを可能にします。
スクリプティングサービスにおける脆弱性は、悪用されると、特定の状況下でAnti-Malware Scanning Interfaceをバイパスします。予想通り、Code Integrity Guardの脆弱性では、悪用された場合、認証された攻撃者がコード整合性チェックをバイパスできます。Hyper-Vにおけるセキュリティ機能バイパス関連の脆弱性の場合は、悪用に際しての実装が難しく、多くの条件がありますが、それでも成功すると攻撃者はハイパーバイザー上のUEFIをバイパスできます。これは周知の脆弱性の1つとして列挙されていますが、実際に悪用される可能性は低いといえます。
情報漏えい関連:
情報漏えい関連の脆弱性は6件のみの修正対応となっており、1件を除いてすべて未指定のメモリ内容の情報漏えいにすぎません。例外は暗号化コンポーネントの脆弱性です。この場合、悪用されると、攻撃者はユーザモードプロセスから最適非対称暗号化パディング(OAEP)の復号内容を読み取ることができます。これにより、単一のハイパーバイザー上の複数のVMに影響を与えるクロスVM攻撃が潜在的に可能になります。
なりすまし関連:
なりすまし関連の脆弱性では、上述の1件に加えて6件に対するパッチが提供されています。残念ながら、Microsoft社はこれらの脆弱性についてあまり情報を提供していません。Officeにおけるなりすまし脆弱性は、Microsoft社が対策としてアウトバウンドNTLMの制限をリストしていることから、悪用されると、NTLMリレーにつながる可能性があります。Power BIの脆弱性については、認証が必要であること以外に実質的な情報はありません。Secure Channelの脆弱性は、悪用されると、中間者攻撃(MitM)が成功する必要があります。
最後になりすまし脆弱性としてWindows用Sudoも挙げられています。この場合、悪用されると、認証された攻撃者が特別に細工されたアプリケーションを起動し、標的のユーザがコンソールウィンドウでコマンドを入力するのを待機されることになります。
サービス拒否(DoS攻撃)関連:
サービス拒否(DoS攻撃)関連では、多数の脆弱性が修正されており、その多くはモバイルブロードバンドドライバーに関するものです。これらの脆弱性についてはあまり情報がありませんが、Microsoft社は攻撃者が「無線送受信を行うためにターゲットシステムの近くにいる必要がある」と述べています。他にはほとんど情報がありません。
カーネルの脆弱性について「認可された攻撃者...」によって悪用されなければならないという表現が特筆されます。これは「認証された攻撃者」を意味しているとは思いますが、「認可された攻撃者」というケースは多くはないでしょう。この点についてはMicrosoft社がもう少し情報を提供してほしいところです。またこれは一時的なDoSなのか、永続的なDoSなのか、システムは自動的に回復するのか、それとも管理者が対応する必要があるのか。Microsoft社には、こうした詳細も提供してくれることも望みます。
最後に、リモートデスクトップサービスの改ざんに関する脆弱性も1件挙げられています。Microsoft社はここで実質的な詳細を提供していませんが、悪用される場合、攻撃者が中間者(MitM)である必要があるという情報のみを提供しています。
今月のリリースには新しいアドバイザリはありません。ただし、ADV990001が改訂され、最新のサービススタックアップデートが含まれています。
次回のセキュリティアップデート
次回のパッチチューズデーは、「Pwn2Own Ireland」実施後の2024年11月12日になります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年10月発表の全リスト
2024年10月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The October 2024 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)