エクスプロイト&脆弱性
2024年11月 セキュリティアップデート解説:Microsoft社は92件、Adobe社は48件の脆弱性に対応
2024年11月の最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年11月の最新のセキュリティアップデートを解説します。Adobe社とMicrosoft社、最新のセキュリティパッチがリリースされました。アドバイザリーの詳細とリリース全体の概要を説明した動画(英語)も併せて紹介します。
2024年11月Adobe社からのセキュリティアップデート
Adobe社は11月、8つの製品に関するセキュリティパッチをリリースしました。これらのパッチはAdobe Bridge、Audition、After Effects、Substance 3D Painter、Illustrator、InDesign、Photoshop、およびCommerceにおける計48件の脆弱性に対応するものです。
最も規模が大きいのはSubstance 3D Painterの修正で、重要度「緊急」および「重要」に分類される22件の脆弱性に対処しています。次いで大規模なのがIllustratorのパッチで、9件の脆弱性を修正しています。After Effectsについては6件の不具合(重要度「緊急」3件、「重要」3件)に対処しており、その中で最も深刻なものは、不正なコードが実行される可能性があるものです。
InDesignのパッチも同様の深刻な問題に対応しています。Commerceについては、認証が必要となるサーバサイドリクエストフォージェリ(SSRF)の脆弱性が1件見つかっています。Photoshopでは重要度「緊急」の脆弱性が1件ありますが、これはユーザが特定のファイルを開いた場合にのみ影響が出る問題です。その他の修正はすべて重要度「重要」に分類されており、Adobe Bridgeで2件、Adobe Auditionで1件の不具合が修正されています。
これらの脆弱性については、リリース時点で周知されている情報はなく、また実際に攻撃に悪用されている事例も報告されていません。Adobe社はこれらの更新プログラムの適用優先度をレベル3と位置付けています。
2024年11月Microsoft社からのセキュリティアップデート
Microsoft社は今月、多数の製品について新たなセキュリティ更新プログラムをリリースしました。対象となったのは、Windowsとそのコンポーネント、Officeとそのコンポーネント、Azure、.NETとVisual Studio、LightGBM、Exchange Server、SQL Server、TorchGeo、Hyper-V、そしてWindows VMSwitchで、合計89件の脆弱性に対応しています。これらのうち1件はZDIプログラムを通じて報告されました。サードパーティの製品における脆弱性も含めると、今回のセキュリティ更新は合計92件となりました。
今回公開された修正プログラムの重要度は、「緊急」が4件、「重要」が84件、「注意」が1件です。Microsoft社にとって今月も大規模な修正となり、2024年の累計修正件数は949件に達しています。12月分の修正を含めていない段階で、すでに2024年は同社にとって史上2番目に多くの脆弱性修正を行った年となっています。
Microsoft社は、今回の脆弱性のうち3件が一般に知られていると発表していますが、ZDIの分析では実際には5件あると考えられます(詳細は後述します)。また、リリース時点で2件の脆弱性が実際の攻撃に悪用されていることが確認されています。それでは、今月の重要な更新プログラムについて、現在攻撃に悪用されている脆弱性から詳しく見ていきましょう。
CVE-2024-43451 - NTLMハッシュ漏えいなりすましの脆弱性
Internet Explorerの影響は未だに続いているようです。 Microsoft社によって廃止されたものの、MSHTMLという形で残存しており、WebBrowserコントロールなどを通じて今でもアクセス可能な状態です。今回の攻撃ではこの仕組みが悪用され、被害者のNTLMv2ハッシュが漏えいする可能性があります。攻撃者はこの情報を使って被害者になりすますことができます。ユーザの操作が必要とはいえ、それが攻撃の有効性を妨げているわけではないようです。 Microsoft社はいつものように攻撃の規模については明らかにしていませんが、この更新プログラムは早急にテストして適用すべきでしょう。
CVE-2024-49039 - Windowsタスクスケジューラーの特権昇格に関する脆弱性
これは実際に悪用されている特権昇格の脆弱性ですが、普段見られるような単純な特権昇格とは異なります。この脆弱性では、AppContainerからの脱出が可能となり、低い権限しか持たないユーザが中レベルの整合性でコードを実行できてしまいます。この攻撃を成功させるにはシステム上でコードを実行できる必要がありますが、コンテナからの脱出は実環境で見られることが少ないため、特に注目すべき事例といえます。複数の研究者から報告があったことから、この脆弱性が世界の複数の地域で悪用されていることが分かります。修正プログラムが提供された今、リサーチャーから脆弱性の詳細が公開されることを期待しています。
CVE-2024-43639 - Windows Kerberosのリモートコード実行の脆弱性
この脆弱性について取り立てて注目することは少ないのですが(正直なところ、実際はかなりあります)、このCVSS 9.8の脆弱性は特に注目に値します。この脆弱性では、暗号化プロトコルの欠陥を突くことで、リモートの未認証の攻撃者がシステム上でコードを実行できてしまいます。悪用に際してのユーザの操作は不要です。Kerberosは高い権限で動作するため、影響を受けるシステム間でワーム感染する可能性があります。影響を受けるシステムは、サポート対象のすべてのWindows Serverです。実際に悪用される可能性は低いと思われますが、そのリスクを軽視すべきではありません。この修正プログラムは速やかにテストして展開する必要があります。
CVE-2024-43498 - .NETとVisual Studioのリモートコード実行の脆弱性
Microsoft社は公開されているとは言っていませんが、この問題に酷似していることから、ZDIでは、これを公開済みの脆弱性の1つと考えています。これもCVSS 9.8の深刻度で、攻撃者が特別に細工したリクエストを.NETウェブアプリケーションに送信することで、コードが実行できてしまいます。また、デスクトップアプリケーションでは、攻撃者が細工したファイルを開かせることで同様の攻撃が可能です。いずれの場合も、実行されるコードはアプリケーションの権限レベルで動作するため、実際の攻撃では特権昇格と組み合わせて使用される可能性があります。.NETやVisual Studioを使用しているアプリケーションをすぐに確認し、必要な修正プログラムを適用することを強く推奨します。
その他の脆弱性
今月修正された重要度「緊急」の脆弱性はさらに2件あり、いずれも特権昇格に関するものです。VMSwitchの脆弱性では、ゲストOS上の低権限ユーザが、ホストOS上においてSYSTEM権限でコードを実行できてしまう問題があります。これは明らかに深刻な問題といえます。もう1件の「緊急」の脆弱性はクラウドサービスに存在するもので、すでに対策が完了し、現在は報告書の作成が進められている段階です。
リモートコード実行関連:
今月は50件を超えるリモートコード実行の脆弱性が報告されていますが、その大半はSQL Serverに関するものです。これらは影響を受けるシステムが悪意のあるSQLデータベースに接続する必要があるため、実際に悪用される可能性は比較的低いとされています。ただし、特別な対応が必要なSQLの脆弱性が1件あります。CVE-2024-49043では、OLE DBドライバ18または19の更新に加えて、サードパーティ製品の修正も必要となる可能性があります。この脆弱性については詳細を確認し、必要な修正をすべて適用することが重要です。また、Officeコンポーネントには「開くだけで権限を奪取される」タイプの脆弱性が多数存在しますが、プレビューペインに影響するものはありません。電話サービスには約6件のリモートコード実行の脆弱性が報告されています。これらはすべて、対象が悪意のあるサーバに接続する必要がありますが、ユーザを騙して攻撃者が制御するサーバにアクセスさせることで攻撃が成立する可能性があります。
重要なリモートコード実行の脆弱性の中でも、SMBv3の脆弱性は特に注目されています。攻撃者は悪意のあるSMBクライアントを使って、影響を受けるSMBサーバを攻撃できる可能性があります。興味深いことに、これはQUICプロトコル上のSMBにのみ該当する問題で、一般的なネットワーク構成では見られない可能性があります。
もう1つ重要な脆弱性は、Azure CycleCloudのCVSS 9.9の深刻な問題です。これは基本的な権限があれば、ルート権限を取得し、現在のインスタンス内のあらゆるAzure CycleCloudクラスターでコマンドを実行することが可能になってしまいます。非常に深刻な問題です。また、機械学習向けのPyTorchドメインライブラリであるTouchGeoにもリモートコード実行の脆弱性が存在します。詳細な情報は公開されていませんが、リモートから攻撃可能で、ユーザの操作を必要としない点が懸念されます。最後に、Microsoft社によるOpenSSLの更新についても触れておく必要があります。Microsoft社はこれを公開済みとは記載していませんが、実はこの脆弱性は6月に既に文書化されていました。サードパーティの更新とはいえ、これを公開済みと明記していない点には疑問が残ります。
特権昇格関連:
今回のリリースでは、特権昇格に関する脆弱性の修正が24件以上含まれています。そのほとんどは、認証済みユーザが特別に細工されたコードを実行した場合に、SYSTEM権限でのコード実行や管理者権限の取得を可能にするものです。しかし、いくつか特に注目すべき脆弱性があります。USBビデオクラスシステムの脆弱性は、攻撃者がUSBデバイスを物理的に接続する必要があるため、デバイスへの物理的なアクセスが必須となります。これもSYSTEM権限でのコード実行につながる危険性があります。
Active Directory証明書の特権昇格は、PKI環境が特定の設定になっている場合にのみ、攻撃者による管理者権限の取得が可能となるため、公報の詳細を必ず確認してください。Azure Database for PostgreSQLの脆弱性では、SuperUserと同等の権限が取得される可能性があります。PC Managerの脆弱性では、攻撃者によるファイル削除が可能で、これを利用して特権を昇格できます。Visual Studioの脆弱性は、現在のユーザの権限までしか到達しません。
最後のHyper-Vの脆弱性は、ゲストOSからホストOS上でSYSTEM権限でのコード実行を可能にする恐れがあります。Microsoft社はこれをCVSS 8.8と評価していますが、ゲストOSからSYSTEM権限への権限範囲の拡大と考えられることから、私の評価ではCVSS 9.9とすべきです。
セキュリティ機能バイパス関連:
11月のリリースでは、セキュリティ機能バイパス(SFB)の脆弱性が2件含まれています。Wordの脆弱性では、攻撃者がOfficeの保護ビューを回避できる可能性があります。また予想通り、Windows Defender アプリケーション コントロール(WDAC)のバイパスでは、攻撃者がWDACの制御を回避して、未承認のアプリケーションを実行できる可能性があります。
情報漏えい関連:
今月修正される情報漏洩の脆弱性は1件のみで、Windows パッケージ ライブラリ マネージャーに関するものです。この脆弱性により、攻撃者は影響を受けるアプリケーションのユーザが持つ特権情報を取得することが可能となります。
なりすまし関連:
修正対象となるなりすまし脆弱性は2件あり、1つ目はExchange Serverに存在します。Microsoft社は具体的な内容を明記していませんが、Exchange Serverの場合、多くはNTLMリレー攻撃につながります。この脆弱性の修正だけでは不十分で、完全な保護を実現するにはこちらに記載された追加の対策が必要です。これはExchange管理者にとって頭の痛い話となるでしょう。もう1件のなりすまし脆弱性はDNSに存在します。これもMicrosoft社から詳細な情報は提供されていませんが、DNSのなりすまし脆弱性は通常、DNS応答の改ざんにつながる可能性があります。
サービス拒否(DoS攻撃)関連:
11月のリリースの最後は、4件のサービス拒否(DoS)脆弱性の修正です。例によって、Microsoft社はこれらの脆弱性やその影響についてほとんど情報を開示していません。唯一の例外は、Hyper-VのDoS脆弱性で、これはVM間攻撃に使用される可能性があり、1つのゲストVMが同じハイパーバイザー上の他のゲストVMの動作に影響を及ぼす可能性があります。
今月のリリースでは、新たなアドバイザリの発行はありません。
次回のセキュリティアップデート
次回のパッチチューズデーは、2024年12月10日になります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年11月発表の全リスト
2024年11月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The November 2024 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)