エクスプロイト&脆弱性
2024年12月 セキュリティアップデート解説:Microsoft社は72件、Adobe社は167件の脆弱性に対応
2024年最後のパッチチューズデーとなり、Microsoft社とAdobe社は年末の最終パッチをリリースしました。最新のセキュリティ情報についてご紹介させていただきます。リリースの概要は、以下の動画(英語)からもご覧いただけます。
2024年最後のパッチチューズデーとなり、Microsoft社とAdobe社は年末の最終パッチをリリースしました。最新のセキュリティ情報についてご紹介させていただきます。リリースの概要は、以下の動画(英語)からもご覧いただけます。
2024年12月Adobe社からのセキュリティアップデート
12月のAdobe社のパッチは非常に大規模で、合計16件のパッチが公開され、167件の脆弱性(CVE)に対応しました。対象となったのは、Adobe Experience Manager、Acrobat and Reader、Media Encoder、Illustrator、After Effects、Animate、InDesign、Adobe PDFL Software Development Kit (SDK)、Connect、Substance 3D Sampler、Photoshop、Substance 3D Modeler、Bridge、Premiere Pro、Substance 3D Painter、およびFrameMakerです。中でも最大規模だったのはExperience Managerで、91件のCVEが修正されました。その大半はクロスサイトスクリプティング(XSS)の脆弱性でしたが、重大なコード実行の脆弱性も1件含まれていました。また、Connectのアップデートも22件のCVEが修正される大規模なもので、同じくその多くがXSSでした。Acrobatのパッチではコード実行の脆弱性が複数修正され、特にAnimateの修正は最も深刻で、重大度「Critical」に分類されるコード実行の脆弱性が13件も含まれていました。
InDesignとSubstance 3D Modelerではそれぞれ9件の脆弱性が修正され、Media Encoderは4件、Substance 3D Samplerは3件の修正が行われました。IllustratorとSubstance 3D Painterについては、それぞれ2件の脆弱性に対応しています。これらの製品すべてにおいて、最も深刻な脆弱性は、細工されたファイルを開くことで悪意のあるコードが実行される可能性があるというものでした。その他の製品については、それぞれ1件の脆弱性が修正されています。
今回修正された脆弱性について、リリース時点で公になっているものや実際に攻撃に悪用されているものはありませんでした。Adobe社はこれらのアップデートの適用優先度を3段階中の「3」としています。
2024年12月Microsoft社からのセキュリティアップデート
今月、Microsoft社はWindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、SharePoint Server、Hyper-V、Defender for Endpoint、System Center Operations Managerに関する71件の新しいCVE(脆弱性)を公開しました。このうち2件はZDI(Zero Day Initiative)プログラムを通じて報告されたものです。また、サードパーティのCVEを含めると、合計で72件が今回のリリースに含まれています。
今回のパッチでは、16件が「緊急(Critical)」、54件が「重要(Important)」、1件が「注意(Moderate)」に分類されています。12月の脆弱性件数としては2017年以降で最大となり、Microsoft社が2024年に公開した総数は1,020件に達しました。この数字は2020年の1,250件に次ぐ規模です。Microsoft社が進めている「Secure Focus Initiative」の取り組みが続く中、2025年にはどのような変化が見られるのか注目されます。
今回の脆弱性の中には、既に公開情報となっており、リリース時点で悪用が確認されているものも含まれています。以下、今月の更新の中でも特に注目すべきものをいくつか取り上げ、まず現在悪用されている脆弱性について詳しく見ていきましょう。
CVE-2024-49138 - Windows Common Log File System Driver の特権昇格の脆弱性
この脆弱性は公開情報として知られており、現在も攻撃が確認されていますが、Microsoft社はどこで公開されたかや、攻撃の規模について詳細を公表していません。この脆弱性は特権昇格に関連するため、コード実行の脆弱性と組み合わせてシステムを乗っ取るために利用されている可能性が高いといえます。このような攻撃手法は、ランサムウェア攻撃や標的型フィッシングキャンペーンでよく見られるものです。
CVE-2024-49112 - Windows Lightweight Directory Access Protocol (LDAP) のリモートコード実行の脆弱性
今月のリリースで最も深刻な脆弱性で、CVSSスコアは9.8と非常に高い評価を受けています。この脆弱性を悪用すると、リモートの未認証の攻撃者が特定のLDAPコールを送信することで、影響を受けたドメインコントローラーを攻撃できます。コードはLDAPサービスの権限で実行され、SYSTEM権限には達しませんが、それでも重大なリスクを伴います。Microsoft社は一部ユニークな緩和策を提案しており、ドメインコントローラーをインターネットから切断することを推奨しています。確かにこの方法で攻撃を防ぐことは可能ですが、ほとんどの企業にとって現実的とは言えません。迅速にパッチをテストし、展開することを強くお勧めします。
CVE-2024-49117 - Windows Hyper-V のリモートコード実行の脆弱性
この「緊急(Critical)」に分類される脆弱性では、ゲストVM上の攻撃者がホストOS上でコードを実行することが可能です。また、クロスVM攻撃も実行される可能性があります。その中でも良いニュースは、攻撃者が認証を必要とする点です。一方で、悪いニュースとしては、攻撃者に必要なのは基本的な認証のみで、高い権限は不要という点が挙げられます。Hyper-Vを使用している環境や、Hyper-Vサーバで運用されているホストがある場合は、このパッチを早急に適用する必要があります。
CVE-2024-49063 - Microsoft/Muzic のリモートコード実行の脆弱性
この脆弱性は、その影響範囲と引き起こし得る事象の両面で非常に興味深いものです。もしご存じない方がいれば(筆者も知りませんでしたが)、「Muzic」は、音楽の理解と生成を深層学習と人工知能を使って実現する研究プロジェクトです。なぜか「ミューゼイク」と発音するそうです。AIに関連する脆弱性がどのようなものか注目していましたが、現時点ではシリアライズ解除の脆弱性として現れています。この脆弱性では、シリアライズ解除時に実行されるペイロードを攻撃者が作成することで、コード実行が可能になります。興味深い事例です。
その他の脆弱性
リモートデスクトップサービス関連:
今月のリリースには、ほかにも14件の「緊急(Critical)」に分類されるパッチが含まれていますが、そのほとんどはリモートデスクトップサービス(RDS)に関連しています。これらはすべて、RDSがゲートウェイの役割で設定されている場合にのみ悪用可能です。ここ数ヶ月、RDSに関連するパッチが多数リリースされていますが、現時点では実際に悪用された事例は確認されていません。それでも、無視するのは得策ではありません。
また、LDAPに関連する別の脆弱性が2件含まれていますが、これらは攻撃者双方が相互に競合状態にあるようです。MSMQコンポーネントの脆弱性も2件あり、リモートの未認証攻撃者によって悪用される可能性があります。ただし、これまでのところMSMQの悪用は確認されていません。
さらに、LSASSの脆弱性もリモートの未認証攻撃者に悪用される可能性があります。これらはすべて「ワーム化」の可能性があると分類できますが、実際にワームが発生する可能性は非常に低いと考えられます。
リモートコード実行関連:
今月は、さらに13件のリモートコード実行(RCE)の脆弱性が修正されています。その中には、Officeに関連する「開くだけで乗っ取られる」タイプの脆弱性がいくつか含まれていますが、そのうちの1つが特筆されます。この脆弱性はRCEとして分類されていますが、Microsoft社はユーザデータが利用不能になる可能性があると説明しています。また、プレビューウィンドウが攻撃ベクトルの1つとなる可能性があるとも述べています。ただし、メールをプレビューウィンドウで表示するだけでは発動せず、添付ファイルをプレビューした場合にのみ悪用されます。
また、RRASサービスに関連する6件のパッチも含まれていますが、これらは悪用にはいくつかの条件を満たす必要があり、現実的に悪用される可能性は低いと考えられます。IPルーティング管理スナップインの脆弱性は認証が必要で、DNSの脆弱性では攻撃者に高い権限が必要です。SharePointにおけるコード実行の脆弱性は、複数のアップデートを適用する必要がありますが、これらはどの順番でも適用可能で、すべて適用することで完全に対処できます。
特権昇格関連:
次に、今回のリリースで修正された特権昇格(EoP)の脆弱性を見ていくと、20件以上が含まれています。ただし、ほとんどの場合、認証済みのユーザが特定のコードを実行することでSYSTEMレベルのコード実行や管理者権限を得られるものです。特筆すべき例外もいくつかあります。
まず、モバイルブロードバンドドライバに関連する修正です。これらの脆弱性は、攻撃者が物理的にUSBデバイスを挿入する必要があり、その結果SYSTEMレベルでコードが実行されます。また、ワイヤレス広域ネットワークサービス(WwanSvc)の脆弱性も物理的なアクセスが必要ですが、それ以上の攻撃シナリオについてMicrosoft社は詳述していません。SharePointのEoPでは、攻撃者が得られる権限は対象ユーザのものに限られます。ここでも複数のパッチが必要なので、すべて適用することを忘れないようにしてください。
また、Virtualization-Based Security(VBS)のEnclaveに関するバグでは、攻撃者がDLLをターゲットエンクレーブにアップロードすることで、さらなる悪用が行われる可能性があります。WmsRepairサービスの脆弱性は、攻撃者がファイルを削除できるもので、ファイル削除を利用した権限昇格についてはこちらのブログ記事(英語)をご参照ください。最後に、PrintWorkflowUserSvcの脆弱性は、サンドボックスからの脱出が可能となります。
情報漏えい関連:
12月のリリースには、情報漏えいに関する脆弱性が7件含まれていますが、ほとんどは未指定のメモリ内容が漏えいするというものです。一方で、SharePointに関連する脆弱性は例外で、攻撃者がファイルの内容を取得できる可能性があります。ただし、それがランダムなファイルなのか特定のターゲットファイルなのかは明確ではありません。これもSharePoint関連であるため、複数のパッチが必要です。
File Explorerにおける情報漏えいの脆弱性はやや懸念されます。ターゲットユーザに接続を開始させる必要があるなどの条件がありますが、適切なリンクをクリックさせることで、ユーザのフォルダや個人データの内容が漏洩する可能性があります。
なりすまし関連:
今回のリリースには、Microsoft Defender for Endpoint(Android版)のみに適用されるスプーフィング(なりすまし)の新しいパッチが1件含まれています。Microsoft社は具体的に何がなりすましされるのかを明らかにしていませんが、攻撃者がユーザを説得してAndroidデバイスにアプリをインストールさせる必要があるとしています。
サービス拒否(DoS攻撃)関連:
12月のリリースは、4件のサービス拒否(DoS)に関する脆弱性の修正で締めくくられます。いつものように、Microsoft社はこれらの脆弱性やその影響について詳細な情報を提供していません。唯一の例外はRDPサーバにおけるDoS脆弱性で、この脆弱性は、攻撃者がRDPサーバに接続し、不正なHTTPリクエストを送信することで悪用される可能性があります。ただし、攻撃の結果がブルースクリーンになるのか、再起動が発生するのか、攻撃が止められればシステムが復旧するのか、といった詳細は明らかにされていません。こうした情報があれば非常に役立つでしょう。
今月のリリースには、新しいアドバイザリが1件含まれています。ADV240002というOffice向けの深層防御(Defense-in-Depth)アップデートです。このアップデートはProject 2016を対象としていますが、Microsoft 社はこのパッチが具体的に何を修正するのかについて詳細を公表していません。
次回のセキュリティアップデート
2025年最初のパッチチューズデーは1月14日です。東京でPwn2Own Automotiveが開催される月でもあります。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年12月発表の全リスト
2024年12月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
The December 2024 Security Update Review
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)