エクスプロイト&脆弱性
CVE-2024-49112およびCVE-2024-49113に関する最新情報
本稿では、CVE-2024-49112およびCVE-2024-49113について解説し、ITおよびSOC(セキュリティオペレーションセンター)担当者が知っておくべき情報をまとめました。これらの脆弱性を悪用した攻撃への対策方法も併せて紹介します。
2024年12月、セキュリティリサーチャーYuki Chen氏により、WindowsのLightweight Directory Access Protocol(LDAP)に関する2つの脆弱性が明らかになりました。CVE-2024-49112はリモートコード実行(RCE)の脆弱性でCVSSスコア9.8、CVE-2024-49113はサービス拒否(DoS)の脆弱性でCVSSスコア7.5を記録しています。
以下では、これら2つの脆弱性について詳しく解説し、対策に役立つ情報を提供します。
CVE-2024-49112が悪用される仕組み
Microsoft社によると、CVE-2024-49112を悪用した攻撃者は、LDAPサービスのコンテキスト内で任意のコードを実行することが可能になります。ただし、成功するには攻撃対象のコンポーネント利用が重要となります。
LDAPサーバとして動作するドメインコントローラーを標的にする場合、攻撃者は特別に細工されたリモートプロシージャコール(RPC)を送信し、ターゲットが攻撃者のドメインを検索するよう誘導します。
一方、LDAPクライアントアプリケーションを狙う場合、被害者に攻撃者のドメインを検索させたり、不正なLDAPサーバに接続させたりする必要があります。ただし、未認証のRPC呼び出しでは攻撃は成功しません。
CVE-2024-49113が悪用される仕組み
セキュリティ企業SafeBreach Labsは、CVE-2024-49113の概念実証(PoC: Proof of Concept)エクスプロイト(脆弱性悪用)を公開しました。このPoCは「LDAPNightmare」と名付けられ、インターネット接続があるDNSサーバを持つ未パッチのWindows Serverをクラッシュさせることが可能です。
この脆弱性悪用による攻撃は、被害者サーバにDCE/RPCリクエストを送信することから始まり、攻撃者が特別に細工したConnectionless Lightweight Directory Access Protocol(CLDAP)の参照応答パケットを送ることで、ローカルセキュリティ機関サブシステムサービス(LSASS)をクラッシュさせ、サーバを再起動させます。
さらに、SafeBreach Labsは、このCLDAPパケットを変更することで、CVE-2024-49112を悪用したリモートコード実行(RCE)も可能であることを確認しています。
影響を受けるWindowsバージョン
これらの脆弱性は複数のWindowsバージョンに影響を与えます。影響を受けるバージョンの詳細は、以下のMicrosoft社のページを参照してください:
CVE-2024-49112およびCVE-2024-49113の防御方法
Microsoft社は2024年12月のパッチチューズデーにおけるアップデートで、これらの脆弱性に対する修正パッチをリリースしています。これらの脆弱性を悪用した攻撃を防ぐために、すべての企業や組織が早急にパッチを適用することが重要です。
トレンドマイクロのお客様は、Trend Vision One™を利用して、これらの脆弱性に関する最新情報を取得できます。Trend Vision Oneは、ポストエクスプロイト検知やリメディエーション機能を備えており、環境内での脅威を調査し、対応するために役立ちます。詳細は、トレンドマイクロのナレッジベース記事(英語)をご覧ください。
そしてトレンドマイクロのお客様は、Trend Vision One内でさまざまな「インテリジェンスレポート」や「スレットインサイト」にアクセスできます。脅威インサイトは、サイバー脅威の兆候を事前に把握し、新たな脅威に対して万全の準備を整えるための情報を提供します。これにより、攻撃者の活動やその悪意ある行動、使用する手法に関する包括的な情報を得ることが可能です。
LDAPNightmareのPoCに関する「Emerging Threatsレポート」はこちらでご覧いただけます:
Critical LDAP Vulnerability (CVE-2024-49113) PoC Released(CVE-2024-49113の重大なLDAP脆弱性のPoCが公開)
さらに、以下のベストプラクティスを実施することで、一般的な脆弱性の悪用を防ぐことができます:
- パッチ管理:ソフトウェアやOS、アプリケーションを定期的に更新し、パッチを適用することは、脆弱性の悪用を防ぐ最も効果的な方法です。
- ネットワーク分離:重要なネットワークセグメントを他のネットワークから分離することで、脆弱性を利用した攻撃の影響を最小限に抑えられます。
- 定期的なセキュリティ監査:セキュリティ監査や脆弱性評価を定期的に実施することで、インフラの弱点を事前に特定し、対策を講じることができます。
- インシデント対応計画:セキュリティ侵害や攻撃が発生した際に迅速かつ効果的に対応するため、対応計画を策定し、テストを行い、継続的に見直すことが重要です。
参考記事:
What We Know About CVE-2024-49112 and CVE-2024-49113
By: Trend Micro
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)