/the-august-2022-security-update-review/Image00V2.jpg)
CVE-2022-34713 - Microsoft Windows Support Diagnostic Tool (MSDT) リモートコード実行の脆弱性
2022年、MSDTの脆弱性が悪用されたケースは今回が初めてではありません。この脆弱性は、MSDTが呼び出し元のアプリケーション(一般的にはMicrosoft Word)からURLプロトコルを使用して呼び出された場合、コード実行をすることも可能となります。攻撃者は、ユーザにリンクをクリックしたり文書を開封させたりする必要があるため、ソーシャルエンジニアリングの手口も含まれます。なお、この脆弱性は、過去の修正プログラムの失敗に起因するのか、それとも新規の脆弱性なのかは、いまのところ不明です。いずれにせよ、この修正プログラムを迅速にテストして適用することをお勧めします。
CVE-2022-35804 - SMB クライアントおよびサーバにおけるリモートコード実行の脆弱性
この脆弱性のサーバ側では、認証されていない攻撃者が遠隔操作により、当該 SMB サーバ上で権限昇格した上でコード実行を行うことが可能となります。興味深いことに、この脆弱性はWindows 11にのみ影響し、これは何らかの新しい機能がこの脆弱性を誘発した可能性を示唆しています。そしてSMBサーバが有効になっているWindows 11のシステム間でワーム活動を実行することも可能となります。なお、SMBv3 圧縮を無効にすることでもこの脆弱性を回避できますが、更新プログラムを適用することが、この脆弱性を修正する上での最善の方法となります。
CVE-2022-21980/24516/24477 - Microsoft Exchange Server における特権昇格の脆弱性
「緊急」に分類された3件のExchange関連の脆弱性から1件のみを選ぶことはできない為、すべて記載します。特権昇格(EoP)の脆弱性が「緊急」に分類されることは稀でが、。内容的にこれらは確実に「緊急」に該当するといえます。これらの脆弱性は悪用されると、認証された攻撃者がすべてのExchangeユーザのメールボックスを乗っ取ることが可能となります。そして、Exchangeサーバ上のどのメールボックスからでも電子メールの閲覧や送信、添付ファイルのダウンロードができるようになります。管理者は、これらの脆弱性に完全に対処するために、拡張保護機能を有効にする必要があります。
CVE-2022-34715 - Windows ネットワークファイルシステムにおけるリモートコード実行の脆弱性
NFSのコード実行に関する脆弱性への対応はこれで4ヶ月連続となり、「CVSS 9.8」として最も深刻な脆弱性といえます。この脆弱性を悪用するには、リモートの未認証の攻撃者が、対象となるNFSサーバに特別な細工をした呼び出しを行う必要があります。この場合、攻撃者は、昇格した権限でのコード実行が可能となります。Microsoft社は、この脆弱性を「重要」と位置づけていますが、「緊急」に分類されても不思議ではないでしょう。直ちにテストを実施した上で、該当修正プログラムの適用を推奨します。
CVE-2022-35742 - Microsoft Outlook のサービス拒否の脆弱性
この脆弱性は、ZDIから報告したもので、内容的にも興味深いものといえます。特別に細工したメールを対象となるユーザへ送信すると、相手のOutlookアプリケーションが即座に終了してしまい、以後、再起動することができなくなります。再起動すると、無効なメッセージを取得・処理した上で再び終了してしまいます。この場合は、メールファイルからメッセージを開いたり、リーディングペインを使用したりしても状況は変わりません。正常な機能を回復する唯一の方法は、別のクライアント(Webメールや管理ツールなど)を使用してメールアカウントにアクセスし、メールボックスから問題のある電子メールを削除してからOutlookを再起動することです。
その他の「緊急」に分類された脆弱性への修正プログラムを見ると、その多くが古いトンネリングプロトコルに影響を及ぼしているものであることが分かります。Point-to-Point Protocol (PPP)、 Secure Socket Tunneling Protocol (SSTP)、RAS Point-to-Point Tunneling Protocolに対する修正であり、これらはすべてリモートコード実行(RCE)の脆弱性への修正対応となっています。これらは古いプロトコルであり、いずれもセキュリティ上の境界でブロックされるべきものです。しかし、これらのプロトコルを何らかの必要からまだ使用しているのであれば、当該脆弱性への修正プログラム適用は必須となります。今月は、「緊急」に分類されたHyper-V guest-to-host関連の脆弱性へも修正プログラムが適用されています。また、Azure Batchへの更新は自動的には実施されていません。Microsoft社 によると「Batch Agent バージョン 1.9.27 以降を実行していない場合は、プールのサイズをゼロに変更するか、再作成する必要があります」とアドバイスしています。その他に「緊急」に分類されたものとしては、Active Directoryに存在するEoP(特権昇格)タイプの脆弱性への修正対応もあげられます。この脆弱性を悪用した場合、認証を得た攻撃者が、自身が所有または管理しているコンピュータアカウントの属性を操作し、AD CSから証明書を取得してSYSTEMへの特権昇格が可能となります。この脆弱性は、他の証明書ベースの脆弱性と類似しているため、Microsoft社では、管理者がシステムを保護するために講じるべき追加手順としてKB5014754の確認を推奨しています。
他のコンポーネントに目を移すと、8月は、Azure Site Recoveryコンポーネントだけで34件のアップデートが発生しています。これで、7月と8月をあわせたこのコンポーネントの対応は合計66件となりました。また今月は、RCE(リモート実行)の脆弱性2件、DoS(サービス拒否)の脆弱性1件、EoP(特権昇格)の脆弱性31件への修正プログラムが発生しています。これらの脆弱性はすべてVMWareおよびAzureの環境に関係しています。Azure Site Recoveryを使用している場合、バージョンを9.50にアップデートして保護する必要があります。Azureの場合、その他RTOS GUIX Studio上にもリモート実行の脆弱性6件、情報漏えい関連の脆弱性2件、合計8つの修正プログラムがリリースされています。RTOSで構築されたアプリケーションについて、修正プログラム適用後に再コンパイルする必要があるかどうかは不明ですが、念のため実施しておいた方がよいでしょう。Azure関連の脆弱性では、その他Azure Sphereに存在する情報漏えいの脆弱性もあげられます。この脆弱性が悪用されると、メモリ内容が漏えいする可能性があります。ただし、脆弱性悪用のためにはルート権限が必要となるため、深刻度の点はトップ10にランクインするほどではないでしょう。
今月修正対応されたコード実行の脆弱性は、MSDTの脆弱性を含め、他にまだ9件存在していますが、これらは(まだ)攻撃で悪用はされていません。また、Bluetoothのサービスにも興味深いコード実行の脆弱性が存在していますが、Microsoft社は、この脆弱性がどのように悪用されるかについてはほとんど情報を提供していません 。ネットワーク隣接攻撃者だけが悪用できると言及しています。Officeには、コード実行の脆弱性が2件存在しており、さらにVisual Studioにはコード実行の脆弱性が4件確認されています。これらの脆弱性が悪用される場合、攻撃者は、ユーザに対して特別に細工されたファイルを開くように促す必要があります。その他のコード実行の脆弱性は、いずれもブラウザに関連するものです。1つはWebBrowser Control上に存在するもの、もう1つはEdge(Chromiumベース)に存在するものです。Edgeの脆弱性は「注意」程度の深刻度に分類されていますが、CVSSの値は8.3と表示されています。深刻度が低く評価されているのは、悪用に際してユーザの操作が必要なためと推測されます。ただし一般的なセキュリティの調査でも、ユーザは目にしたポップアップをほぼすべてクリックしてしまうことが分かっており、そうした条件が必要だとしても安全とは言えないでしょう。
今月修正プログラムが適用されたセキュリティ機能迂回関連の脆弱性6件の場合、Edgeの脆弱性ではCVSS が9.6と表示されており、Microsoft Storeアプリケーションの起動を許可するかどうかをユーザに尋ねるダイアログ機能を迂回する点が強調されています。また、Windows Defender Credential Guardの場合は、Kerberosの保護機能を迂回する脆弱性が確認されています。その他、ExcelのSFBに関する脆弱性では、Packager Object Filters機能が迂回されます。Windows Helloへの修正プログラムでは、顔認識セキュリティ機能を迂回する脆弱性への対応がなされています。また、Windowsカーネルへの修正プログラムでは、重要な深層防護対策であるASLRを迂回する脆弱性への対応がなされています。ASLRの迂回は、脆弱性悪用の手口としては格好の条件となるため、今後、脆弱性悪用ツールの常套手段として組み込まれてくることも懸念されます。
8月に修正されたその他の特権昇格関連の脆弱性の場合、まず注目すべきはプリントスプーラに対する修正対応です。Microsoft社は、これらの脆弱性を「XI of 1」として30日以内に悪用される可能があるとしています。Exchangeにも特権昇格関連の脆弱性が1件存在しており、こちらは既に周知済となっています。この脆弱性が悪用されると、攻撃者は、標的の電子メールを読むことが可能となります。その他、System Center Operations Managerの権限昇格に関するものとしてOpen Management Infrastructure (OMI)に存在する脆弱性も指摘されています。攻撃者は、この脆弱性を悪用すると、OMIのキータブを操作し、感染端末上で昇格した特権を得ることができます。その他の特権昇格関連の脆弱性の大部分は、攻撃者がターゲット上でコード実行する能力を既に持っていることを必要とします。そして、これらの脆弱性のいずれかを悪用すると、SYSTEM またはその他の特権昇格が実行可能となります。
情報漏えい関連の脆弱性の場合は、ほとんどの修正プログラムは、どの月も主に不特定多数のメモリ内容のリークを引き起こすだけの不具合として確認されています。今月も同様の脆弱性が多数確認される中、いくつかの興味深い脆弱性も指摘されています。Windows Defender Credential Guardに存在する脆弱性2件はそのようなケースです。双方とも、悪用することで攻撃者は、Kerberosで保護されたデータへのアクセスが可能となります。その他の情報漏えい関連の修正プログラムは、Exchangeに対応するもので、これらの脆弱性が悪用されると、攻撃者は、標的の電子メールを読むことができる可能性があります。繰り返しになりますが、今月の Exchange に対する変更に基づき、管理者はこれらの脆弱性を完全に修正するために Extended Protection を有効にする必要があります。
今月は、前述のOutlookやAzure Site Recoveryの脆弱性を含め、DoS(サービス拒否)関連の脆弱性7件が修正されました。さらに他の3件は、前述の古いトンネリングプロトコルに影響するものです。また、LSAコンポーネントも、DoS関連の脆弱性に対応する修正が施されました。これは、LSAがセキュリティログへの書き込みを担っているコンポーネントであることから、興味深い事象といえます。攻撃者は、この脆弱性を悪用することで侵入の痕跡を隠ぺいすることが可能となります。また、HTTPプロトコルスタック(http.sys)の脆弱性への修正プログラムも指摘されます。この場合、認証されていない攻撃者が特別に細工したパケットを送信し、サービスを停止させることが可能となります。
さらに今月は「Blind XXE攻撃」を防ぐための.NETへの修正対応にも言及されています。
今月のセキュリティアップデートでは、新規のアドバイザリーは発表されていません。最新のサービススタックに関するアップデートは改訂版ADV990001に記載されています。CERT/CCから提出されたセキュアブートの脆弱性に対する修正プログラムをインストールするには、最新のアップデートが必要になります。
からの記事と詳細 ( 2022年8月のセキュリティアップデート解説:悪用されたMSDTの脆弱性含め合計166件の脆弱性を修正|トレンドマイクロ - Trend Micro )
https://ift.tt/dWufwCo
No comments:
Post a Comment