2024年11月のPatch Tuesdayに関するAkamaiの見解
感謝祭を待っている間に、Patch Tuesdayにも感謝しましょう。今月は39種類のコンポーネントに関する計89件のCVEがあります。これらのCVEのうち4件は重大で、2件は野放し状態でした。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesdayがリリースされた後は毎回、数日後にAkamaiが知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-49039 — Windowsタスクスケジューラ(CVSS 8.8)
WindowsタスクスケジューラはWindowsの中核コンポーネントであり、ユーザーはコマンドやプログラム(タスク)の実行をスケジュールされた方法で自動的に指定できます。すべてのWindowsシステムに搭載されており、デフォルトで利用可能です。ユーザーは管理コンソールを使用して簡単に操作できますが、プログラムやプロセスも同様の操作を、RPCインターフェース経由で簡単に実行できます。
通常、そのRPCインターフェースでは厳密なアクセス制御が必要であり、特権ユーザーのみがタスクを作成または実行できます。CVE-2024-49039は、こうしたチェックの一部を回避しているようです。パッチノートによると、整合性が低いAppContainer(信頼されていないプログラムが獲得したアクセスを制限するためのセキュリティメカニズム)は、タスクスケジューラを悪用して本来のレベルよりも高い整合性レベルでコマンドを実行する可能性があり、おそらくRPCインターフェースを経由しているようです。
CVE-2024-43451 — Windows MSHTMLプラットフォーム(CVSS 6.5)
CVEノートには、MSHTMLプラットフォームが影響を受けるコンポーネントだったと記載されています。この点について説明しましょう。
MSHTMLはWindowsオペレーティングシステム用のWebページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムがWebレンダリング機能を追加できるようにします。Internet Explorer、Microsoft EdgeのInternet Explorerモード、Microsoft Outlookなどのさまざまなプログラムで使用されます。
過去には、MSHTMLプラットフォームに複数の脆弱性が存在していました(Akamaiの研究者が発見したものも含む)。同プラットフォームはWindowsに組み込まれた機能であり、防御メカニズムを回避できるため、攻撃者にとって魅力的な攻撃ターゲットになっています。
今回は、特別に細工されたファイルがユーザーによって開かれたときにNTLMv2ハッシュリークが発生する可能性があるようです。NTLMはWindowsの認証プロトコルの1つであり、パスワードハッシュのリークは認証リレー攻撃の引き金になり得ます。また、パスワードハッシュがオフラインクラッキングで使用されるとユーザーのクリアテキストパスワードが取得される恐れもあります。
Microsoft Windows VMSwitch
VMSwitchは、Microsoftが提供するハイパーバイザー、Hyper-Vのコンポーネントです。Hyper-Vは、仮想マシンの実行で使用されるだけでなく、カーネルを超えた特権的で安全なハイパーバイザーを提供することで、Windowsの新しいバージョンのセキュリティにおいて重要な役割を果たします。
VMSwitchは、Hyper-V上でホストされている仮想マシン(VM)間のネットワークトラフィックを処理するドライバーです。準仮想化されたコンポーネントであり、Hyper-Vのゲストとやり取りする際はホスト上で直接実行されます。そのため、ゲストからホストへの攻撃を可能にする利益の出やすい標的として研究されています。
驚くなかれ、CVE-2024-43625は、まさにそれに該当します。Hyper-Vのゲスト上で実行している攻撃者は、特別に細工されたネットワーク要求をVMSwitchに送信します。その結果、ユーズ・アフター・フリーの脆弱性が発生し、ホストのコンテキストでコードを実行するために悪用される可能性があります。Hyper-VがMicrosoft Azureのハイパーバイザーであることも考慮すると、利益の出やすい標的としての魅力はさらに高まるため、この脆弱性の影響はかなり大きいと言えます。
VMSwitchが狙われるのは初めてではありません。実際、2021年にはAkamai自身が調査して重大な9.9 RCE脆弱性を発見しました。当社の調査結果についてはその年のBlackHatでのプレゼンテーションをご参照ください。
この重大な脆弱性のほか、Hyper-Vに影響を与えるCVEがさらに2件存在します。
CVE番号 |
影響 |
|---|---|
DoS攻撃 |
|
特権の昇格 |
Hyper-Vの使用を検知するためには、次のosqueryを実行します。
select name, statename from windows_optional_features where name like 'Microsoft-Hyper-V%'
当社の調査では、93%の環境でHyper-Vが有効になっているマシンが存在し、平均してネットワークの25%を占めていました。
Windows Kerberos
Kerberosは、Windowsドメインアーキテクチャのバックボーンとして機能します。これは、NTLMに置き換わるデフォルトの認証メカニズムです。今月、Kerberosの重大な脆弱性(CVE-2024-43639(CVSS 9.8)にパッチが適用されました。
悪性の攻撃が成功すると、リモートでコードが実行され、認証も不要になります。さらに、これは暗号化の脆弱性でもあることから、ドメインへの初回ログオン時に発生するKerberosの事前認証プロセスが攻撃対象となる可能性があります。つまり、攻撃は主にドメインコントローラーに集中すると考えられますが、場合によっては他のWindowsマシンを標的にするように調整されるかもしれません。実際に、チケット解析の実装に暗号化の脆弱性が存在する場合は、認証プロセスの後半で適用される可能性があります。
Windows SMBv3サーバー
SMBv3は、比較的新しいトランスポートプロトコルであるQUICプロトコルを介してSMBファイルサーバーの実行に関与します。(このプロトコルは2012年に導入され、2021年に標準化されました。ちなみに、TCPは1974年に導入され、1980年に標準化されています。)UDPを介して構築され、多重化、暗号化などをサポートします。また、MicrosoftはWindowsへのQUIC搭載を進めており、Windowsの新しいバージョン(11およびServer 2025)はすでにさまざまな方法でサポートしています。
CVE-2024-43447では、悪性のクライアントによって、攻撃を受けたSMBv3サーバー上でダブルフリーの脆弱性が発生する可能性があります。その結果、悪用が成功した場合、リモートコード実行につながる恐れがあります。深刻な被害をもたらすかもしれませんが、QUICはまだそれほど普及していないため、実際に影響が生じる可能性はかなり低くなります。事実、Akamaiの調査によればQUICを有効にしているサーバーが存在する環境はわずか8%に過ぎません。この8%のうち、SMBv3サーバーを使用している環境の割合はさらに低くなります。というのも、SMBv3サーバーはデフォルトでは有効になっていないからです。
QUICトラフィックはUDPポート443経由で通信するため、心配であればネットワーク管理者はセグメンテーションを使用してこのトラフィックを制限できます。また、SMBファイルサーバーにQUICサポート機能がある場合は、それを無効にすることもできます。
この脆弱性に加えて、通常のSMBにはサービス妨害の脆弱性、CVE-2024-43642が存在します。
以前に対応したサービス
今月のPatch Tuesdayで取り上げたCVEの多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでのPatch Tuesdayに関するAkamaiの見解をご覧ください。
サービス |
CVE番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
なりすまし |
ネットワーク、未認証 |
||
リモートコードの実行 |
ネットワーク |
||
特権の昇格 |
ローカル |
このサマリーでは、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介します。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社のX(旧Twitter)アカウントでご確認いただけます。
