2024年12月のPatch Tuesdayに関するAkamaiの見解
アドベントカレンダーにどんな意味があるというのでしょうか?今すぐ、中に入っているものをすべて私たちに渡してください。「すべて」というのはつまり、CVEのことです。今月は32種類のコンポーネントに関する計71件のCVEがあります。これらのCVEのうち17件は重大で、1件は野放し状態でした。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesdayがリリースされた後は毎回、数日後にAkamaiが知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
Windows Common Log File Systemドライバー
Common Log File Systemは、高性能なログ機能を提供するWindows内のAPIです。これを操作するためには、開発者およびプログラムはClfsw32.dll DLLファイルを使用します。このファイルは、ユーザーモードのコンポーネントです。ただし、舞台裏では、このロジックは、カーネルドライバーであるclfs.sysに実装されています。今月、パッチが適用された脆弱性はおそらく、このカーネルドライバーにあります。
これは、注目すべき点です。パッチが適用されたシステムであっても、攻撃者は、Bring Your Own Vulnerable Driver(BYOVD)攻撃を介してこの正規のドライバーを権限昇格手法として使用できる場合があるためです。
3件のCVEがあります。これらはすべて、ローカル権限昇格に使用されます。これらのうち、実際に検知されたのは1件(CVE-2024-49138)のみです。
CVE番号 |
影響 |
|---|---|
特権の昇格 |
|
Windows Lightweight Directory Access Protocol(LDAP)
Windows Lightweight Directory Access Protocol(LDAP)は、ディレクトリーサービス/データベースへの接続とクエリーを行うためのオープンソースのプロトコルです。Active DirectoryのドメインコントローラーにはLDAPサーバーが実装されているため、LDAPを使用する既存のプログラムやサーバーは個別のサーバーがなくても既存のドメインコントローラーを使用できます。
今月、LDAPサービスに4件の脆弱性が見つかりました。この脆弱性は、パッチ未適用のドメインコントローラーに影響を及ぼします。2件は、リモートコード実行(RCE)の脆弱性で、2件は、サービス妨害(DoS)の脆弱性です。4件のいずれも、認証を必要としません。
CVE番号 |
影響 |
|---|---|
リモートコードの実行 |
|
DoS攻撃 |
|
また、別のRCEの脆弱性もあります(CVE-2024-49124)。これは、LDAPクライアントに起因します。ただし、そのノートでは、サーバー側での悪用に言及しています。現時点では、クライアントについてか、サーバーについてか不明です。
パッチを適用するためにドメインコントローラーを停止するわけにはいきません。パッチ以外の緩和策はありますか?
いいえ。ドメインコントローラーは、ドメイン内のあらゆる側面に不可欠な要素であるため、通常のネットワーク運用に影響を与えずにドメインコントローラーへのアクセスを制限することは事実上不可能です。脆弱性の追跡さえ、脆弱性が認証を必要としないため、困難な場合があります。インシデント対応チームは、サーバーからの応答がない短期間のLDAPセッションを監視できます。これで、悪用の試みを示せる可能性があります。
いずれにしても、ドメインコントローラーがインターネットに開かれていないことを確認してください。
Windows Remote Desktop Services
Windows Remote Desktopは、Remote Desktop Protocol(RDP)を介したWindowsマシン間のリモートデスクトップ接続に使用されます。今月は、Windows Remote Desktopのさまざまなコンポーネントにまつわる複数の脆弱性があるため、それらについてまとめて説明します。
主な脆弱性はもちろん、リモート・デスクトップ・サーバーに関する 9 件の重大な RCE の脆弱性です。攻撃者はRDPサーバーに接続し、不正な形式のパケットをスパムとして送信し、競合状態に勝利するだけで、それをRCEに利用できるようになります。
RDPはネットワークでよく使用されており、ラテラルムーブメント(横方向の移動)に利用される可能性があるため、これに関するポリシールールを作成することをお勧めします。私たちが調査したところ、96%のネットワークにWindows RDPトラフィックがあり、20%のネットワークは制限なくそのトラフィックの部分に対処していました。ここで良い面は、ほとんどのCVEが「すべてのWindows Remote Desktopサービスに影響を与える」というタイトルになっているにもかかわらず、特にリモート・デスクトップ・ゲートウェイ・ロールを持つサーバーに言及していることです。リモート・デスクトップ・ゲートウェイは、あまり一般的ではなく、私たちが調査したところ、これがある環境は36%しかありませんでした。
CVE番号 |
影響 |
|---|---|
DoS攻撃 |
|
リモートコードの実行 |
|
リモートコード実行、クライアント側 |
RDPアクセスをユーザーマシンに制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。RDPに関する効率的な対策については、セグメンテーションに関するブログ記事で説明しています。ポリシーの有無に関わらず、できるだけ早くパッチを適用することをお勧めします。
Microsoft Message Queuing(MSMQ)
Microsoft Message Queuing(MSMQ)サービスは、オプション機能であり、異なるアプリケーション間でメッセージを配信するのに使用されます。オプション機能であるにもかかわらず、Microsoft Exchangeサーバーなど、Windowsのエンタープライズアプリケーションの多くによってバックグラウンドで使用されています。当社の調査結果から、このサービスは環境のほぼ70%において、通常、複数のマシンにインストールされていることがわかりました。
今月、2件の重大なネットワークRCEの脆弱性が見つかりました。この脆弱性を利用することで、攻撃者は特別に細工されたパケットを被害者のMSMQサーバーに送信して、コードをリモートで実行することができます。認証は必要ありません。また、別のDoSの脆弱性もあります。
MSMQサービスはポート1801からアクセスできますが、クライアントの多くはあまりアクセスしないため(主にエンタープライズアプリケーション自体で使用されるため)、ポート1801とMSMQサービスへの任意のネットワークアクセスを制限することを推奨します。許可リストポリシーを使用してサービスをセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。セグメンテーションに関するブログ記事をお読みください。特にアプリケーションリングフェンシングとマイクロセグメンテーションのセクションの記事で詳細をご確認いただけます。
CVE番号 |
影響 |
|---|---|
リモートコードの実行 |
|
DoS攻撃 |
Windows Local Security Authority Subsystem Service(LSASS)
Local Security Authority Subsystem Service(LSASS)は、Windowsオペレーティングシステムのコアプロセスです。ユーザーモードで、ただし、保護されたプロセスとして実行され、アクセスおよびセキュリティ、つまり、ユーザーログオン、パスワード確認、セキュリティトークン管理の処理を担当します。
攻撃者およびレッドチーマーが使用する典型的な手口は、プロセスのメモリーをダンプして、その中に保存されているユーザーパスワードを入手することでした。Microsoftはストップをかけました。プロセスを保護されたプロセスにし、最近ではHyper-Vを使用して通常のユーザーモードから分離するなど、ますます多くのセキュリティメカニズムを追加したのです。それほど重要ということです。
ログオンを担当するプロセスとして、一部のネットワークコンポーネント、つまりRPCサーバーの形式でも常にリッスンしています。今月の重大なRCE(CVE-2024-49126)は、これらのコンポーネントの1つを中核としています。競合状態の場合、リモート攻撃者は、認証することなくプロセス上で任意のコードを実行できます。
以前に対応したサービス
今月のPatch Tuesdayで取り上げたCVEの多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでのPatch Tuesdayに関するAkamaiの見解をご覧ください。
サービス |
CVE番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
任意のコードの実行 |
ネットワーク。ユーザーは悪性ファイルを開く必要があります |
||
特権の昇格 |
ネットワーク |
||
情報開示 |
|||
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
ローカル。ゲストからホストへ |
||
特権の昇格 |
ローカル |
||
特権の昇格 |
ローカル |
このサマリーでは、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介します。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社のX(旧Twitter)アカウントでご確認いただけます。
