2024年10月のPatch Tuesdayに関するAkamaiの見解
気味が悪く恐ろしい脆弱性は、(サーバー)スタックを脅かします
貴社が悲鳴を上げたCVEに影響を受ける前に、今夜、ネットを保護してしまいましょう 🎵
新たな月を迎え、CVEが山積みになっていますが、キャンディとは異なり、仮装した子供にCVEを配ることはできません。今月は60種類のコンポーネントに関する計117件のCVEがあります。そのうち3件が重大で、2件は野放し状態で悪用されており、1件はAkamaiが発見しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesdayがリリースされた後は毎回、数日後にAkamaiが知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-43572 — Microsoft Management Console(CVSS 7.8)
Microsoft Management Console(mmc.exe)は、さまざまなコンポーネントのグラフィカルインターフェースです。
たとえば、Windows Event Viewer、Services Manager、Task Schedulerはどれも、Microsoft Management Consoleのスナップインとして実装されています。
スナップイン自体も.msc拡張子のファイルであり、表示するものと提供する機能をManagement Consoleに指示します(つまり、たとえばEvent Viewerを実行しているときは、実際にはmmc.exe eventvwr.mscを背後で実行しているということです)。
この脆弱性は、信頼できない.mscファイルのロードに関連しているようです。不適切な処理は、リモートコード実行(RCE)につながる可能性があります。もちろん、この場合の「リモート」とは、攻撃者と被害者の間の距離を指します。この脆弱性をトリガーするためには、被害者が悪性の.mscをダウンロードして開く必要があります。RCEの修正に加えて、今月のパッチには信頼できない.mscがロードされないようにする修正も含まれています。
CVE-2024-43573 — Windows MSHTMLプラットフォーム(CVSS 6.5)
MSHTMLはWindowsオペレーティングシステム用のWebページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムがWebレンダリング機能を追加できるようにします。Internet Explorer、Microsoft EdgeのInternet Explorerモード、Microsoft Outlookなどのさまざまなプログラムで使用されます。
過去には、MSHTMLプラットフォームに複数の脆弱性が存在していました(Akamaiの研究者が発見したものも含む)。同プラットフォームはWindowsに組み込まれた機能であり、防御メカニズムを回避できるため、攻撃者にとって魅力的な攻撃ターゲットです。
Akamaiの研究者が発見した脆弱性
CVE-2024-43532 — Remote Registry Service(CVSS 8.8)
WindowsのRemote Registry Serviceは、リモートコンピューター間でWindows Registryとのインタラクションを可能にするものであり、リモート・プロシジャー・コール(RPC)プロトコルで実行されます。CVE-2024-43532はAkamaiの研究者であるStiv Kupchikによって発見され、2024年2月に開示されました。
この脆弱性は、Remote Registry RPC実装のクライアント側、RegConnectRegistry関数とRegConnectRegistryEx関数に存在します。根本原因は、RPCトランスポートのフォールバックメカニズムです。Remote Registryのトラフィックは通常、SMBの名前付きパイプで処理されますが、名前付きパイプが使用できない場合のためのTCPへのフォールバックメカニズムがクライアント実装に含まれています。また、安全な認証と暗号化を使用するSMBトラフィックとは異なり、TCPトラフィックは完全性チェックや暗号化を行わずに認証されるため、NTLMリレー攻撃に対して脆弱です。
Akamaiはこの脆弱性について2024 No Hatカンファレンスで発表します。カンファレンスにアクセスしてライブで視聴するか、イベント後にリリースする付随ブログ記事をご覧ください。
Microsoft Configuration Manager
Microsoft Configuration ManagerはIntuneソフトウェアファミリーの一部であり、ITマネージャーが多数のWindowsコンピューターやサーバーを設定および管理するのを支援するために作られています。
Configuration Managerのセットアップには複数のコンポーネントが含まれていますが、ここで注目すべきはSQLデータベースです。CVE-2024-43468のメモと脆弱性IDによると、この脆弱性の悪用に成功すると、データベース上でコマンドを実行できます(モノリシックなシングルサーバーインストールの場合はメインのConfiguration Managerサーバー上でも実行できます)。
Configuration Managerとコンソールアプリケーションの両方に対するパッチがあるため、問題はサーバーに入力した値がデータベースに渡される前にサニタイズ(無害化)または検証されないことである可能性があります(データベース自体のセキュリティの問題ではない)。そのため、セグメンテーションによってデータベースのセキュリティを確保することはセキュリティ対策として適切ですが、それだけではこの脆弱性の影響を軽減できない可能性があります。
次のosqueryを使用してConfiguration Managerのインストールを検知できる場合があります。
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Windows Remote Desktop
Windows Remote Desktopは、Remote Desktop Protocol(RDP)を介したWindowsマシン間のリモートデスクトップ接続に使用されます。今月は、Windows Remote Desktopのさまざまなコンポーネントにまつわる複数の脆弱性があるため、それらについてまとめて説明します。
主な脆弱性はもちろんCVE-2024-43582(サーバー側のサービスに関する重大なRCEの脆弱性)です。攻撃者はRDPサーバーに接続し、不正な形式のパケットをスパムとして送信し、競合状態に勝利するだけで、それをRCEに利用できるようになります。
RDPはネットワークでよく使用されており、ラテラルムーブメント(横方向の移動)に利用され得るため、これに関するポリシールールを作成することをお勧めします。私たちが調査したところ、89%のネットワークにWindows RDPトラフィックがあり、73%のネットワークは制限なくそのトラフィックに対処していました。
RDPアクセスをユーザーマシンに制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。RDPに関する効率的な対策については、セグメンテーションに関するブログ記事で説明しています。ポリシーの有無に関わらず、できるだけ早くパッチを適用することをお勧めします。
| コンポーネント | CVE番号 | CVSSスコア | 影響 |
|---|---|---|---|
| リモート・デスクトップ・プロトコル・サーバー | CVE-2024-43582 | 8.1 | リモートコードの実行 |
| Windows Remote Desktop Licensing Service | CVE-2024-38262 | 7.5 | |
| リモート・デスクトップ・クライアント | CVE-2024-43533 | 8.8 | |
| CVE-2024-43599 | 8.8 | ||
| Windows Remote Desktop Services | CVE-2024-43456 | 4.8 | 改ざん |
以前に対応したサービス
今月のPatch Tuesdayで取り上げたCVEの多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでのPatch Tuesdayに関するAkamaiの見解をご覧ください。
サービス |
CVE番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
特権の昇格 |
ネットワーク、認証済み |
||
情報開示 |
ネットワーク |
||
リモートコードの実行 |
ローカル、ソーシャルエンジニアリングまたはフィッシングが必要 |
||
リモートコードの実行 |
ネットワーク |
||
特権の昇格 |
ローカル |
||
リモートコードの実行 |
ネットワーク |
このサマリーでは、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介します。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社のX(旧Twitter)アカウントでご確認いただけます。
