2024年9月のPatch Tuesdayに関するAkamaiの見解
新学期が始まりました!私たちの専攻はCVE分析です。いつもの月と同様に、Akamai Security Intelligence Groupでは、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesdayがリリースされた後は毎回、数日後にAkamaiが知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-43491 — Microsoft Windows Update(CVSS 9.8)
3月のセキュリティ更新のビルド番号に伴う問題により、オプションのコンポーネントを処理するWindows Updateの部分のバグがトリガーされました。これにより、Windows Updateは以降の更新を適用せず、それらのコンポーネントをベースバージョンに戻すようになりました。
Microsoftによると、このWindows Updateのバグは一般に悪用されていませんでしたが、影響を受けるコンポーネントの一部には一般に悪用されている脆弱性が存在したため、カテゴリー化されています。
このCVEを処理するには、セキュリティ更新プログラムKB5043083とサービススタック更新プログラムKB5043936の両方をインストールする必要があります。
影響を受けるコンポーネントは次のとおりです。
Active Directory Lightweight Directory Service
管理ツール
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD印刷サービス
Microsoft Message Queue(MSMQ)Server Core
MSMQ HTTPサポート
MultiPoint Connector
SMB 1.0/CIFSファイル共有のサポート
Windows FAXとスキャン
Windows Media Player
Work Folders Client
XPSビューアー
次のOSQueryを使用して、これらのコンポーネントのいずれかがコンピューターで有効になっているかどうかを確認できます。
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 — Windows Installer(CVSS 7.8)
Windows Installer(msiexec.exe)は、.msiファイルの処理とインストールを行うWindowsのコンポーネントです。この脆弱性に関する詳細な情報はあまりありませんが、悪用が成功するとSYSTEM権限の取得につながるため、この問題はバイナリーだけでなくWindows Installerサービス(msiexecも指す)に伴うものである可能性があります。
CVE-2024-38226 — Microsoft Publisherのセキュリティ機能(CVSS 7.3)
Microsoft Publisherのセキュリティ機能は、有害な悪性のMicrosoft Officeドキュメントからユーザーを保護することを目的としています。攻撃者は悪性コードをマクロ形式でOfficeドキュメントに埋め込むことができます。Publisherのセキュリティ機能を使用すると、マクロの自動実行が防止され、実行を確認するポップアップメッセージがユーザーに表示されます。
CVE-2024-38226はこの保護を回避し、ドキュメントを開いたときに悪性コードが自動的に実行されるようにします。
CVE-2024-38217 — Windows Mark Of The Web(CVSS 5.4)
2か月連続で、Mark of the Webの新しいバイパスが発見されました。Mark of the Webは、インターネットからダウンロードされた危険である可能性のあるファイルをマークするセキュリティ機能です。これにより、ファイルを開くときにSmartScreenセキュリティ警告がトリガーされます。このバイパスは、その警告をスキップします。この脆弱性により、攻撃者が特定の方法でファイルを作成した場合、Windows SmartScreenがファイルのチェックに失敗し、警告画面が回避されます。
SmartScreen回避の脆弱性が攻撃者によって積極的に悪用されたのは、先月が初めてではありません。2023年11月と2024年2月のパッチにも、活発に悪用されていると報告されたバイパス脆弱性の修正が含まれていました。
この野放し状態で悪用されていたCVEに加えて、今月はCVE-2024-43487にパッチが適用されました。このCVEのCVSSスコアは6.5です。
Microsoft SharePointは、他のMicrosoft Office製品と統合されたWebベースのドキュメント管理およびストレージシステムです。今月はCVEが5件あります。そのうち2件は重大なリモートコード実行(RCE)の脆弱性で、CVSSスコアはそれぞれ8.8(CVE-2024-38018)と7.2(CVE-2024-43464)です。残りは、RCEの脆弱性2件とサービス妨害(DoS)のCVE1件です。
CVE-2024-38018を悪用するために、攻撃者は少なくともSiteMember権限を持つアカウントを使用してSharePointサーバーに対する認証を行わなければなりません。攻撃者がコードの実行をトリガーするために何を実行しなければならないのかについて、詳細な情報はありません。
CVE-2024-43464、CVE-2024-38227、およびCVE-2024-38228にはSiteOwnerの権限が必要です。また、細工したファイルをアップロードし、APIリクエストを使用してアクセスする必要があります。これにより、ファイルパラメーターのデシリアライゼーションがトリガーされ、SharePointサーバープロセスにコードインジェクションが実行されます。
私たちの調査では、約30%の環境にSharePointサーバーがインストールされたマシンが少なくとも1台あることがわかりました。
SharePointサーバーは通常、ドキュメント共有に使用されるため、通常の操作に影響を与えることなく、ユーザーアクセスをセグメント化または制限することが困難になる場合があります。したがって、できるだけ早くサーバーにパッチを適用することをお勧めします。
ただし、これらのRCEのCVEを悪用するためにはユーザー認証が必要であるため、ユーザーアクセスを強化するか、不審なユーザーアクティビティやログオンに対するアラート感度を高めることによって、リスクを多少緩和することができます。
Windowsネットワークアドレス変換(NAT)
ネットワークアドレス変換(NAT)は、1つのIPアドレスの背後に複数のIPアドレスをマッピングするネットワークの一形態です。主な用途は、内部ネットワークのIP範囲全体を単一の外部IPの背後に置くことで、ネットワークを分離することです。
CVE-2024-38119は、Windows NATに存在する重大なRCEの脆弱性です。これを悪用するためには、競合状態に勝利する必要があります。WindowsのどのコンポーネントがNATに関与しているのかは不明であり、NATは通常のネットワークスタックの前に発生するため、おそらくセグメンテーションでは緩和できません。そのため、唯一の緩和策としてパッチの適用が推奨されます。
Microsoft SQL Server
今月は、Microsoft SQL Server(MSSQL)サーバーのCVEが13件あります。そのうち9件はMSSQLのNative Scoring機能(事前トレーニング済みモデルに基づいてデータ値を予測する機械学習機能)のCVEであり、その9件のうち6件はRCEです。また、ネイティブMSSQLサーバーのCVEが4件あります。
SQL Serverには通常、機密情報が保管されていることから、データ盗難インシデントを防止するためにセグメント化し、アクセス制御の制限をかける必要があります。こうしたポリシーが導入されていない場合は、今回が新たに取り入れる良い機会です。既存のMSSQL Serverをマッピングし(MSSQLサービスを検索、またはポート1433および1434経由の接続を検索)、
それが完了したら、既存のトラフィックや、アクセスが必要な他のセグメント(ITからすべて、財務から財務、など)に基づいて、セグメンテーションポリシーを作成します。これは、悪質な行為をしている人や、本来はアクセス権限のないデータベースにアクセスしている人を見つける良い機会にもなります。
当社の調査によると、MSSQLサーバーを備えているネットワークは75%でした。
サービス |
CVE番号 |
影響 |
|---|---|---|
Microsoft SQL ServerのNative Scoring機能 |
リモートコードの実行 |
|
情報開示 |
||
Microsoft SQL Server |
||
特権の昇格 |
||
以前に対応したサービス
今月のPatch Tuesdayで取り上げたCVEの多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでのPatch Tuesdayに関するAkamaiの見解をご覧ください。
サービス |
CVE番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
DoS攻撃 |
ネットワーク |
||
特権の昇格 |
ネットワーク |
||
リモートコードの実行 |
NetNATサービスが有効になっているネットワーク |
||
なりすまし |
ネットワーク |
||
リモートコードの実行 |
ネットワーク、認証されたユーザー |
||
情報開示 |
ネットワーク |
||
| CVE-2024-38231 | DoS攻撃 | ||
| CVE-2024-43455 | なりすまし |
このサマリーでは、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介します。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社のX(旧Twitter)アカウントでご確認いただけます。
