エクスプロイト&脆弱性
2021年11月のセキュリティアップデート解説:Microsoftが55件のパッチを公開
今月の第2火曜日となった2021年11月9日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。
今月の第2火曜日となった2021年11月9日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。
■ Adobe社による2021年11月のセキュリティアップデート
11月Adobe社は、「Creative Cloud Desktop」、「InCopy」、「RoboHelp」内で確認された4件の脆弱性を修正する3つのパッチをリリースしました。Creative Cloudのパッチは、「Important(重要)」評価のサービス拒否(DoS)の脆弱性を1件修正します。InCopyのパッチは、「Critical(緊急)」評価のコード実行を含む2件の脆弱性を修正します。RoboHelp Serverにおける脆弱性対処のリリースは、セキュリティパッチではなく、セキュリティホットフィックスの一覧に記載されていますが、なぜこのような名称の違いがあるのかは不明です。いずれにせよ、「緊急」評価の任意のコード実行の脆弱性が修正されるため、現在もRoboHelpをお使いの方は、このホットフィックスを適用することが推奨されます。
さらにAdobe社は10月下旬に、複数の製品にまたがる重大なコード実行の脆弱性、特権昇格、サービス拒否、メモリ内容の漏えいなど、80件以上の脆弱性に対処する修正プログラムをリリースしています。これらの脆弱性はいずれも活発な攻撃を受けているとは一覧に記載されていなかったため、なぜAdobe社がこれほど多くの緊急パッチをリリースしたのかは定かではありません。
Adobe社が今月対処した脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実を確認されているものではありません。
■ Microsoft社による2021年11月のセキュリティ更新プログラム
Microsoft社は11月9日に、「Microsoft Windows」および「Windowsコンポーネント」、「Azure」、「Azure RTOS」、「Azure Sphere」、「Microsoft Dynamics」、「Microsoft Edge(Chromiumベース)」、「Microsoft Exchange Server」、「Microsoft Office」および「Officeコンポーネント」、「Windows Hyper-V」、「Windows Defender」、「Visual Studio」内で確認された55件の新たな脆弱性に対処するパッチをリリースしました。
過去の傾向から言えば、11月に55件のパッチが供給されるのは比較的少ない数字です。2020年11月には、この倍以上の数の脆弱性が修正されました。1年を通して修正された脆弱性が691件しかなかった2018年の11月に遡っても、修正された脆弱性は今月よりも多かったのです。12月は通常、パッチの供給が遅い月であるため、さまざまな要因により展開を待機しているパッチのバックログがあるのではないかと疑問に思われるかもしれません。ここ数年、業界全体でパッチのリリースが増加しているにもかかわらず、Microsoft社がパッチのリリースを減少させているのは奇妙なことです。
今回パッチが供給された脆弱性のうち、深刻度が「緊急(Critical)」と評価されたのは6件、「重要(Important)」と評価されたのは49件です。これらの脆弱性のうち4件は、トレンドマイクロの「ZDI program」を通じて確認されたものです。これらの脆弱性のうち4件は一般公開されており、2件はリリース時点で活発な攻撃下にあるとされています。次のセクションでは、今月のセキュリティアップデートの中でも特に興味深い、活発な攻撃下にあるとされる2件の脆弱性から詳しく見ていきましょう。
- CVE-2021-42321 - Microsoft Exchange Serverのリモートでコードが実行される脆弱性
この脆弱性は、現在も活発な攻撃下にあるとしてMicrosoft社がリストアップしていますが、認証が必要条件とされています。インターネット上で確認されるすべてのExchange Serverの脆弱性と同様に、Exchange Serverの管理者は、できるだけ早くパッチをテストして展開することが推奨されます。さらにMicrosoft社は、パッチの展開方法についてExchange Serverの管理者を支援するために、ブログを公開しています。
– CVE-2021-42292 - Microsoft Excelのセキュリティ機能のバイパスの脆弱性
このパッチは、影響を受けるバージョンのExcelで特別に細工されたファイルを開くとコードが実行される可能性がある脆弱性を修正します。これは、プロンプトの背後にあるはずのコードを読み込むことが原因と考えられますが、何らかの理由でプロンプトが表示されないため、セキュリティ機能がバイパスされてしまいます。悪意のあるマクロなのか、スプレッドシート内でコードを読み込む他の形式のコードなのかは明らかとなっていませんが、今後も予期せぬ添付ファイルを開くことは控えましょう。特に、Mac版Officeのユーザには、現在のところパッチが供給されていないため、この問題は深刻です。Mac版Officeのユーザは、この脆弱性に対処するセキュリティアップデートが公開されるまで待つ必要があります。さらにMicrosoft社は、この脆弱性を活発な攻撃下にあるとしていますが、共通脆弱性評価システム(CVSS)の評価では、エクスプロイトコードの成熟度を「概念実証(Proof of Concept、PoC)」としているのも興味深い点です。
- CVE-2021-26443 - Microsoft Virtual Machine Bus (VMBus) のリモートでコードが実行される脆弱性
このパッチは、仮想マシンバス(VMBus)を介した「ゲストからホストへのエスケープ(Guest-to-Host Escape)」に対処します。ゲストVM上のユーザは、特別に細工した通信内容をVMBusチャネル上でホストOSに送信することで、基盤となるホスト上で任意のコードが実行される可能性があります。CVSS値は9.0で、今月修正された脆弱性の中でもより深刻なものの1つです。CVE番号に基づいた場合、この脆弱性は数ヶ月前からMicrosoft社に確認されていたことになります。
- CVE-2021-38666 - リモートデスクトップ クライアントのリモートでコードが実行される脆弱性
RDPサーバに内在する脆弱性ほど深刻ではありませんが、RDPクライアントのこの脆弱性は優先的に対処する必要があります。攻撃者がユーザを誘導して悪意のあるRCPサーバに接続させると、接続しているRDPクライアントシステム上でコードが実行される可能性があります。繰り返しになりますが、これはBluekeepの脆弱性のようなレベルには達しませんが、間違いなく注意すべきものです。
以下は、Microsoft社が2021年11月に発表した脆弱性の全リストです。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用確認 | 種類 |
CVE-2021-42292 | Microsoft Excel のセキュリティ機能のバイパスの脆弱性 | 重要 | 7.8 | なし | あり | SFB |
CVE-2021-42321 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | あり | RCE |
CVE-2021-43208 | 3D ビューアのリモートでコードが実行される脆弱性 | 重要 | 7.8 | あり | なし | RCE |
CVE-2021-43209 | 3D ビューアのリモートでコードが実行される脆弱性 | 重要 | 7.8 | あり | なし | RCE |
CVE-2021-38631 | Windows リモート デスクトップ プロトコル (RDP) の情報漏えいの脆弱性 | 重要 | 4.4 | あり | なし | Info |
CVE-2021-41371 | Windows リモート デスクトップ プロトコル (RDP) の情報漏えいの脆弱性 | 重要 | 4.4 | あり | なし | Info |
CVE-2021-42279 | Chakra スクリプト エンジンのメモリ破損の脆弱性 | 緊急 | 4.2 | なし | なし | RCE |
CVE-2021-42298 | Microsoft Defender のリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2021-42316 | Microsoft Dynamics 365 (オンプレミス) のリモートでコードが実行される脆弱性 | 緊急 | 8.7 | なし | なし | RCE |
CVE-2021-26443 | Microsoft Virtual Machine Bus (VMBus) のリモートでコードが実行される脆弱性 | 緊急 | 9 | なし | なし | RCE |
CVE-2021-3711 | OpenSSL: CVE-2021-3711 SM2暗号データの復号処理におけるバッファオーバーフロー | 緊急 | 9.8 | なし | なし | RCE |
CVE-2021-38666 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 緊急 | 8.8 | なし | なし | RCE |
CVE-2021-42278 | Active Directory Domain Services の特権の昇格の脆弱性 | 重要 | 7.5 | なし | なし | EoP |
CVE-2021-42282 | Active Directory Domain Services の特権の昇格の脆弱性 | 重要 | 7.5 | なし | なし | EoP |
CVE-2021-42287 | Active Directory Domain Services の特権の昇格の脆弱性 | 重要 | 7.5 | なし | なし | EoP |
CVE-2021-42291 | Active Directory Domain Services の特権の昇格の脆弱性 | 重要 | 7.5 | なし | なし | EoP |
CVE-2021-42302 | Azure RTOS の特権の昇格の脆弱性 | 重要 | 6.6 | なし | なし | EoP |
CVE-2021-42303 | Azure RTOS の特権の昇格の脆弱性 | 重要 | 6.6 | なし | なし | EoP |
CVE-2021-42304 | Azure RTOS の特権の昇格の脆弱性 | 重要 | 6.6 | なし | なし | EoP |
CVE-2021-26444 | Azure RTOS の情報漏えいの脆弱性 | 重要 | 3.3 | なし | なし | Info |
CVE-2021-42301 | Azure RTOS の情報漏えいの脆弱性 | 重要 | 3.3 | なし | なし | Info |
CVE-2021-42323 | Azure RTOS の情報漏えいの脆弱性 | 重要 | 3.3 | なし | なし | Info |
CVE-2021-41374 | Azure Sphere の情報漏えいの脆弱性 | 重要 | 6.7 | なし | なし | Info |
CVE-2021-41375 | Azure Sphere の情報漏えいの脆弱性 | 重要 | 4.4 | なし | なし | Info |
CVE-2021-41376 | Azure Sphere の情報漏えいの脆弱性 | 重要 | 2.3 | なし | なし | Info |
CVE-2021-42300 | Azure Sphere の改ざんの脆弱性 | 重要 | 6 | なし | なし | Tampering |
CVE-2021-41366 | Credential Security Support Provider プロトコル (CredSSP) の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-42277 | 診断ハブ標準コレクターの特権の昇格の脆弱性 | 重要 | 5.5 | なし | なし | EoP |
CVE-2021-41373 | FSLogix の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
CVE-2021-41368 | Microsoft Access のリモート コードが実行される脆弱性 | 重要 | 6.1 | なし | なし | RCE |
CVE-2021-42275 | Microsoft COM for Windows のリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2021-41351 | IEモードのMicrosoft Edge (Chromeベース) のなりすましの脆弱性 | 重要 | 4.3 | なし | なし | Spoofing |
CVE-2021-40442 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2021-41349 | Microsoft Exchange Server のなりすましの脆弱性 | 重要 | 6.5 | なし | なし | Spoofing |
CVE-2021-42305 | Microsoft Exchange Server のなりすましの脆弱性 | 重要 | 6.5 | なし | なし | Spoofing |
CVE-2021-42276 | Microsoft Windows メディア ファンデーションのリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2021-42296 | Microsoft Word のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2021-41367 | NTFS の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-41370 | NTFS の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-42283 | NTFS の特権の昇格の脆弱性 | 重要 | 8.8 | なし | なし | EoP |
CVE-2021-41372 | Power BI Report Server のなりすましの脆弱性 | 重要 | 7.6 | なし | なし | Spoofing |
CVE-2021-38665 | リモート デスクトップ プロトコル クライアントの情報漏えいの脆弱性 | 重要 | 7.4 | なし | なし | Info |
CVE-2021-42322 | Visual Studio Code の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-42319 | Visual Studio の特権の昇格の脆弱性 | 重要 | 4.7 | なし | なし | EoP |
CVE-2021-42286 | Windows Core Shell SI Host Extension Framework for Composable Shell の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-41356 | Windows 暗号化のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2021-36957 | Windows デスクトップ ブリッジの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-41377 | Windows Fast FAT ファイルシステムドライバの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-42280 | Windows Feedback Hub の特権の昇格の脆弱性 | 重要 | 5.5 | なし | なし | EoP |
CVE-2021-42288 | Windows Hello のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.7 | なし | なし | SFB |
CVE-2021-42284 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | 6.8 | なし | なし | DoS |
CVE-2021-42274 | Windows Hyper-V Discrete Device Assignment (DDA) のサービス拒否の脆弱性 | 重要 | 6.8 | なし | なし | DoS |
CVE-2021-41379 | Windows インストーラーの特権の昇格の脆弱性 | 重要 | 5.5 | なし | なし | EoP |
CVE-2021-42285 | Windows カーネルの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2021-41378 | Windows NTFS Remote のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
2021年11月にリリースされた残りの「緊急」評価のパッチのうち、ChakraとDynamics (On-Prem) の脆弱性が目立ちました。Chakraのパッチは、感染したシステム上で攻撃者が独自のコードを実行できる可能性がある脆弱性を修正するもので、通常は「browse-and-own(閲覧させて乗っ取る)」または「open-and-own(開封させて感染させる)」というシナリオで実行されます。Microsoft社は、Dynamics上でどのようにコードが実行されるかについては明らかにしていませんが、Dynamicsによって管理されるインフラやサプライチェーンの種類を考慮すると、この「緊急」評価の脆弱性は深刻に受け止める必要があります。Defenderのパッチは、インターネットに接続されていない環境では注意が必要ですが、それ以外では特に対策をとる必要はないと考えられます。Microsoft社は、マルウェア対策エンジンを定期的に更新しているため、システムがインターネットに接続されている場合は、すでに更新情報を受信しているはずです。ただし、念のために自身でシステムのバージョンを確認し、必要に応じて手動で更新プログラムを適用する必要があります。最後にMicrosoft社は、2021年8月にOpenSSLの脆弱性に対処するパッチのアップデートをリリースしています。これは、オープンソースコードを公開する場合、常に最新の最も安全なバージョンで公開しているかどうかを確認する必要があることを示す良い例です。
他のコード実行の脆弱性に話を移すと、3Dビューアに2件の脆弱性が見つかっています。これらの脆弱性は、ZDIのリサーチャであるMat Powell氏によって報告されましたが、Microsoft社はZDIの定める開示タイムラインに沿うことができませんでした。そのためZDIは、2021年6月および7月にこれらの脆弱性に関する詳細を公開したことで、一般に知られることとなりました。その他のコード実行の脆弱性は、ほとんどがOfficeコンポーネントのいずれかに存在します。このような場合、特別に細工されたファイルを開くとコードが実行される可能性があります。最終的なコード実行の脆弱性はNTFS内に存在しますが、Microsoft社はこれがどのように機能するのかを明らかにしていません。Microsoft社は、ユーザによる操作は不要としながらも、侵入経路をローカルとしています。これにより、「open-and-own(開封させて感染させる)」シナリオのほかに「browse-to-a-remote-folder(リモートフォルダへの参照)」が侵入経路から外されます。この脆弱性は、先日ZDIが主催したハッキングコンテスト「Pwn2Own Austin」で活躍したTHEORIチームによって発見されたものです。近い将来、彼らからさらなる詳細情報がリリースされることを期待しています。
今回のセキュリティアップデートでは、20件の特権昇格(EoP)の脆弱性に対処するパッチがリリースされており、最も深刻な影響を与えるのは、「NTFS」、「Active Directory Domain Service、(ADDS)」、「Azure RTOS」です。NTFSの脆弱性は、ユーザの操作を必要としないと記載されている一方で、低い権限によるローカルでの侵入であるため、混乱を招きます。これは、NTFS RCEの脆弱性評価と同じであるため、これらがどのように違うのかは明確ではありません。ADDSの脆弱性は、企業ネットワーク内でのラテラルムーブメント(水平移動)を容易にする可能性があるため、この脆弱性に対処するパッチも適用することが推奨されます。また、どれだけのユーザがAzure RTOSを利用しているかは定かではありませんが、彼らには厳しい道のりが待っています。パッチを適用するだけでは十分でないからです。代わりに、更新されたUSBXソースコードでプロジェクトを再コンパイルし、新しいコードを再展開する必要があります。これを怠ると、攻撃者が悪意のあるUSBデバイスを接続した際に特権昇格が生じる可能性があります。残りの特権昇格の脆弱性に対処するパッチは、攻撃者がシステムにログオンして、影響を受けるコンポーネントを悪用するために独自のコードを実行する必要があるという、古くから存在する悪用手口を修正します。
今月は、重大な情報漏えいの脆弱性に対処するパッチがいくつか供給されています。まず、情報漏えいにつながる可能性があるAzure RTOSの脆弱性に対処する3つのパッチが供給されていますが、Microsoft社はどのような情報が漏えいする可能性があるかについては言及していません。この場合も、悪意のあるUSB攻撃を阻止するには、再コンパイルと再展開が必要です。さらに厄介なことに、RDPには一般に知られている情報漏えいの脆弱性が2つあり、RDP管理者によるWindows RDPクライアントパスワードへの読み取りアクセスを許可する可能性があります。ユーザがパスワードを再利用することは決してないと誰もが知っているので、これは内部の脅威に大きな変化をもたらす可能性があります。
また、FSLogixに内在する情報漏えいの脆弱性が修正されています。この脆弱性により、攻撃者はFSLogix Cloud Cacheを介してプロファイルやOfficeコンテナに誘導されたユーザデータを漏えいさせる可能性があります。その中にはユーザプロファイルの設定やファイルも含まれます。驚くべきことに、10件の情報漏えいの脆弱性のうち1件だけが、不特定のメモリ内容で構成される情報漏えいを引き起こします。
3件の情報漏えいは、Azure Sphereデバイスに影響を与えますが、これらのデバイスがインターネットに接続されていれば、自動的に更新情報を受け取ることができます。さらにAzure Sphereに内在する改ざんの脆弱性も修正されていますが、こちらもインターネットに接続されていれば何もする必要はありません。
サービス拒否(DoS)の脆弱性に対処するパッチを見ると、最も重要なのは、サブコンポーネントではなく、Windowsに影響を与えるものです。権限のない不正リモートユーザが、サポートされているすべてのWindowsバージョン(Windows 11を含む)上でサービス拒否を生じさせる可能性があります。これによりシステムが停止して操作できなくなる(ハングアップ)のか、再起動するのかは明らかではありませんが、いずれにしても、この影響力の大きいサービス拒否の脆弱性にもパッチを適用することが推奨されます。他のサービス拒否の脆弱性2件はHyper-Vに影響を与え、そのうちの1件はGREを有効にする必要があります。
すでに言及したExcelの脆弱性の他に、今回修正されたセキュリティ機能バイパス(SFB)は1件だけです。これは、Windows 10またはServer 2019を搭載したシステムのWindows Helloに影響します。詳細は記載されていませんが、コンポーネントと影響だけを見ると、PIN、顔認証、指紋認証を使用せずに、影響を受けるシステムにアクセスする方法があるようです。これらの機能を認証方法に使用している場合は、影響を受けるすべてのシステムにパッチが適用されていることを確認するまで、無効にしておくことが推奨されます。
最後に、2021年11月のセキュリティアップデートでは、4件のなりすまし(Spoofing)の脆弱性に対処する修正プログラムがリリースされており、これにはExchange Serverの脆弱性も含まれています。これは8人のリサーチャが報告したその脆弱性をMicrosoft社が事実だと認めているため、ユーザはExchange Serverの脆弱性を検索したときに気づくはずです。無論、このパッチを適用することで、他のExchange serverのなりすましの脆弱性、あるいは、IEモードのMicrosoft Edge(Chromeベース)のなりすましの脆弱性など、どのなりすましの脆弱性が修正されるかなどの情報は提供されていません。なお、Power BI Report Serverの修正プログラムは、テンプレートファイルを用いたクロスサイト・スクリプティング(XSS)およびクロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性を修正するものであるとMicrosoft社は言及しています。
今月は新しいアドバイザリがリリースされませんでした。最新のサービススタック更新プログラムは、改訂されたADV90001で確認することができます。
参考記事:
- 「THE NOVEMBER 2021 SECURITY UPDATE REVIEW」
by Dustin Childs
記事構成:岡本 勝之(セキュリティエバンジェリスト)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research