2024年8月のPatch Tuesdayに関するAkamaiの見解
ラスベガスはこのところハッカーで溢れかえり、あらゆるものが悪用されています。今回のPatch Tuesdayで6つの脆弱性が悪用されていたことが判明したことからも分かるように、西部は明らかに野放し状態となっています。2024年8月のPatch Tuesdayでリリースされた89件のCVEのうち4件が公開され、1件がBlack Hatで発表されました。今月は、1件の勧告も含まれています。
いつもの月と同様に、Akamai Security Intelligence Groupでは、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesdayがリリースされた後は毎回、数日後にAkamaiが知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-38178 — スクリプトエンジンのメモリ破損(CVSS 7.5)
Windowsスクリプト言語とは、VBScriptやJavaScriptなど、Windows内に導入されている複数のスクリプト言語のことです。jscript9.dllというファイルが変更されていることが判明したので、修正された脆弱性はJScriptコンポーネントにあると考えられます。
JScriptは、Microsoftが実装しているECMAScriptです。これは、JavaScriptをサポートし、Internet Explorerで使用されているものと同じ標準です。ChakraもJScriptから派生したJavaScriptエンジンであり、Microsoft Edge Legacyで使用されます(Edgeの新バージョンはChromiumベース)。いずれもDLLとして実装され、jscript9.dllおよびchakra.dllというわかりやすい名称が付けられています。
この勧告によると、攻撃は被害者がリンクをクリックし、Internet ExplorerモードでEdgeを使用することを要求します。この脆弱性は、他の方法でも(おそらくOfficeを介して)引き起こされる可能性があると私たちは考えています。
CVE-2024-38213 — Windows Mark Of The Web(CVSS 6.5)
この脆弱性が修正されたのは2024年6月ですが、勧告が発表されたのは2024年8月であることに注意する必要があります。
これは、セキュリティバイパスの脆弱性で、Webからダウンロードされた潜在的に悪性であるファイルを開くときにSmartScreenセキュリティ警告をスキップします。このシナリオでは、Windows SmartScreenは警告画面を表示する役割を担います。この脆弱性により、攻撃者が特定の方法でファイルを作成した場合、Windows SmartScreenがファイルのチェックに失敗し、警告画面が回避されます。
SmartScreen回避の脆弱性が攻撃者によって積極的に悪用されたのは、これが初めてではありません。2023年11月と2024年2月のパッチにも、活発に悪用されていると報告されたバイパス脆弱性の修正が含まれていました。
また、他にも4件の脆弱性が野放し状態で悪用されていました。
Windows TCP/IP
WindowsのTCP/IPスタックは、オペレーティングシステムのネットワーク機能のコアコンポーネントです。TCP/IPプロトコルスイートを使用してネットワーク間のデータ転送を処理します。これは、インターネットやほとんどのローカルネットワークを介した通信の基盤となります。
Windowsオペレーティングシステムでは、TCP/IPスタックはtcpip.sysドライバーに実装されています。このカーネルモジュールは、IPv4やIPv6のようなトランスポート層を介したTCPを含むネットワークプロトコルの処理を担当します。
CVE-2024-38063(CVSS 9.8)は、このネットワークスタックに存在する重大な脆弱性で、認証されていない攻撃者が特別に細工されたIPv6パケットを送信して、リモートでコードを実行できるようになる可能性があります。
Microsoft Security Response Centerチームによる注目すべきブログ投稿では、このコンポーネントで以前に発見されたCVEについて述べられており、不正な細工を施されたパケットを使用したリモートコード実行(RCE)およびサービス拒否(DoS)攻撃が実行可能であるとしています。CVSSは、以前の所見とは対照的に、攻撃の複雑性が低い(AC:L)ことを示しています。
Microsoftによると、IPv6が無効になっているマシンはこの脆弱性から保護されています。この脆弱性は、IPv6の普及、攻撃の複雑性の低さ、そして認証されていない攻撃者がアクセスできるという状況から、攻撃者に使用される可能性があると考えられます。したがって、マシンにパッチを適用する必要があるのです。
以下のosqueryを使用して、有効でIPv6アドレスをもつネットワークアダプターを検知できます。
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windowsネットワーク仮想化
Windowsネットワークの仮想化(WNV)は、Hyper-V ネットワーク仮想化フレームワーク内の機能で、複数の仮想マシン(VM)が異なるサブネットまたは物理ネットワーク上にある場合でも、あたかも同じサブネット上にあるかのように通信できるようにします。これは、仮想ネットワークを物理ネットワークから切り離すことによって実現され、ネットワーク構成を変更することなく、VMを物理ホスト間で移動させることができます。
WNVでは、パケットのカプセル化にNVGRE(Network Virtualization Generic Routing Encapsulation)またはVXLAN(Virtual Extensible LAN)を使用しているため、クラウド環境での分離、スケーラビリティ、マルチテナントのサポートが可能です。
CVE-2024-38159とCVE-2024-38160はどちらもゲストからホストへのエスケープを引き起こす可能性があり、その結果RCEにつながる可能性があります。どちらの脆弱性もCVSSは9.1ですが、影響を受けるのはWindows Server 2016およびWindows 10(1607)のみです。
Microsoftでは、Hyper-VマシンをVMwareなどの別の仮想プラットフォーム内で実行するか、Hyper-Vベースの仮想化を完全にあきらめることで、この脆弱性を緩和することを提案しています。
Windows Routing and Remote Access Service(RRAS)
The Routing and Remote Access Service(RRAS)は、オペレーティングシステムをルーターとして動作させるWindowsサービスであり、VPNまたはダイヤルアップを使用したサイト間接続を可能にします。今月、このサービスに6つの脆弱性が発見され、そのうち5つのCVSSスコアは8.8でした。
このパッチノートからはあまり多くの情報は得られませんが、RCEの脆弱性が無防備なクライアント上の悪性のサーバーによってトリガーされることは分かっています。そのため、ゼロトラストとセグメンテーションを通じて、これらの脆弱性がもたらすリスクの一部を緩和することができます。
RRASはすべてのWindowsサーバーで使用できるわけではなく、Remote Accessロールの一部として提供されており、特別にインストールする必要があります。私たちの調査では、監視対象の環境の約12%でRemote AccessロールがインストールされたWindowsサーバーが使用されていることがわかりました。
Microsoft Outlook
どうやら、Outlookの脆弱性がなければ、Patch Tuesdayを適用できないようです。CVE-2024-38173は、OutlookのRCEの脆弱性です。プレビュー画面は攻撃ベクトルですが、この脆弱性には被害者の認証情報が必要です。
この脆弱性を誘発するために、悪性のフォームがExchangeにアップロードされます。被害者のOutlookがExchangeと同期すると、悪性のフォームがダウンロードされ、被害者のマシン上でコードが実行される可能性があります。この脆弱性はMorphisecによって発見されたもので、CVE-2024-30103と同様のものであると考えています。
以前に対応したサービス
今月のPatch Tuesdayで取り上げたCVEの多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでのPatch Tuesdayに関するAkamaiの見解をご覧ください。
このサマリーでは、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介します。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社のX(旧Twitter)アカウントでご確認いただけます。
