エクスプロイト&脆弱性
2022年2月のセキュリティアップデート解説
2022年2回目のセキュリティアップデートでは、Adobe社およびMicrosoft社から最新の更新プログラムがリリースされました。各社からの最新情報は以下のとおりとなります。
2022年2回目のセキュリティアップデートでは、Adobe社およびMicrosoft社から最新の更新プログラムがリリースされました。各社からの最新情報は以下のとおりとなります。
2022年2月のAdobe社からのセキュリティアップデート
2022年2月、Adobe社からは、Adobe Illustrator、Creative Cloud Desktop、After Effects、Photoshop、Premiere Rushにおける17件の脆弱性に対応した5件のセキュリティアドバイザリが公開されました。17件の脆弱性のうち2件は、ZDIの脆弱性リサーチャーMat Powell氏の報告によるものです。Illustrator向けの更新プログラムでは、合計で13件脆弱性が修正され、最も深刻なものは、バッファオーバーフローか境界外(OOB、Out-Of-Bounds)書き込みのいずれかによって任意のコードを実行される可能性がある脆弱性でした。Creative Cloud Desktopへの更新プログラムでは、深刻度が「緊急」に評価されるリモートコード実行の脆弱性も1件修正されました。
「緊急」に評価された今回の脆弱性は、「After Effects」への対応に続き、「3GPファイルの解析処理に存在する境界外書き込みの脆弱性」へ対処するものでした。この脆弱性は「ユユーザ提供のデータが適切に検証されない際に割り当てられたバッファの終端を越えて書き込まれる」というリスクに起因しています。さらに今月もう1つ「緊急」に評価された脆弱性としては、Photoshopのバッファオーバーフローに関連したものが挙げられます。この脆弱性が悪用されるとリモートでのコード実行が可能になります。
今月「警告」に評価された脆弱性は、Premiere Rushに関連するもののみです。これは「JPEGイメージの解析に存在する脆弱性」に対処するものです。この脆弱性も「ユーザ提供のデータが適切に検証されない際に割り当てられたバッファの終端を越えて読み込まれる」というリスクに起因しています。
なお、今月Adobe社がリリースした更新プログラムでは、リリース時点で既に周知されていたり、攻撃に利用されていたりした脆弱性はありませんでした。
2022年2月のMicrosoft社からのセキュリティアップデート
2022年2月、Microsoft社からは、Microsoft WindowsおよびWindowsコンポーネント、Azure Data Explorer、Kestrel Web Server、Microsoft Edge(Chromiumベース)、Windows Codecs Library、Microsoft Dynamics、Microsoft Dynamics GP、Microsoft OfficeおよびOfficeコンポーネント、Windows Hyper-V Server、SQL Server、Visual Studio Code、Microsoft Teamsにおける脆弱性51件へ対応する更新プログラムがリリースされました。これらの脆弱性のうち、5件がZDIからの報告によるものでした。さらに、2月初めにはMicrosoft Edge(Chromiumベース)向けの更新プログラムが適用された脆弱性が19件追加され、最終的に2月における脆弱性件数の合計は70件に達することとなりました。
この件数は(2020年を除いて)1ヶ月分の脆弱性件数が50件前後となる例年2月の規模に匹敵しています。今回特筆すべきは、深刻度が「緊急」に評価される脆弱性がなかった点です。今回対応された脆弱性のうち、50件が「重要」、1件が「警告」と評価されていました。もしかしたら過去にもあったかもしれませんが、筆者が知る限り、Microsoft社の月次セキュリティアップデートにおいて「緊急」が1つも含まれていない例は記憶にありません。さらに興味深い点としては、今月のリリースではCVSS評価の深刻度に関する追加説明が付記されているものの、脆弱性自体の詳細では不明瞭なものも散見されることです。
今月対応された脆弱性は、いずれもまだ攻撃に悪用されていないと記載されていますが、そのうちの1件は、リリース時に既に周知されていた脆弱性でした。先月のセキュリティアップデートでは、当初攻撃での悪用はないとしていたものが、リリースからわずか2日後には、脆弱性「CVE-2022-21882」について「Microsoft社は、この脆弱性を悪用しようとする限定的な標的型攻撃を認識している」との追記がなされました。
以下、Windows DNSサーバでの重大な脆弱性など、今月のセキュリティアップデートで示された主要な更新プログラムを列挙します。
- CVE-2022-21984 - Windows DNS Server のリモートコード実行の脆弱性:この更新プログラムは、Microsoft DNS サーバにおけるリモートコード実行の脆弱性を修正します。このサーバ関連の脆弱性は、動的更新が有効な設定の場合のみ影響を受けますが、この設定自体は比較的一般的です。ご使用の環境でこの設定が有効である場合、攻撃者はDNSを完全に乗っ取り、昇格した特権によるコード実行が可能となります。なお、この動的更新は、デフォルトでは有効になっていないため、「緊急」には評価されていません。しかし、ご使用のDNSサーバが動的更新を使用している場合、この脆弱性を「緊急」と見なして対応する必要があります。
- CVE-2022-23280 - Microsoft Outlook for Mac のセキュリティ機能回避の脆弱性:このOutlook関連の脆弱性では、影響を受ける条件のオプションが無効の場合でも、画像が自動的にプレビューペインに表示される動作が発生する可能性があります。これにより、標的にされた端末の IP 情報が公開される危険性があります。また、画像のレンダリングに影響を与える別の脆弱性利用と合わせて、リモートコード実行が可能となる危険性もあります。Mac用Outlookをご使用の場合は、影響を受けないバージョンへ確実にアップデートされていることを再確認してください。
- CVE-2022-21995 - Windows Hyper-V のリモートコード実行の脆弱性:この更新プログラムは、Hyper-V サーバにおけるゲストからホストへのエスケープの脆弱性を修正します。Microsoft社では、この脆弱性のCVSS評価を「高」と分類して、攻撃者が「脆弱性利用ツール(エクスプロイト)の信頼性を高めるためにこの環境を利用するに違いない」と述べています。ただしほとんどのエクスプロイトと同様、今回の脆弱性がどのような形で利用されるかは明確ではありません。こうした点からも、企業で Hyper-V サーバを使用している場合、今回の更新を「緊急」として扱うことを推奨します。
- CVE-2022-22005 - Microsoft SharePoint Server のリモートコード実行の脆弱性:この更新プログラムは、SharePoint Web Applicationのサービスアカウントのコンテストおよび権限において認証されたユーザがサーバ上で任意の.NETコードを実行できるようにするという脆弱性に対処しています。攻撃者がこの脆弱性を悪用するには、リスト管理の権限が必要となります。この権限はデフォルトでは、認証されたユーザが自身のサイトを作成することが可能であり、ユーザは、サイトの所有者として必要なすべての権限を取得できます。これは、ZDIによって報告された脆弱性でもあり、今後、ZDIからもさらなる詳細が報告される予定です。
今月の更新プログラムリリースで追加されたリモートコード実行の脆弱性の中には、HVECおよびVP9ビデオ拡張への更新が含まれていました。Microsoft社によると、この脆弱性が悪用される場合、エクスプロイトがローカルに存在している必要がある点を指摘しています。ただし、特別に細工された画像ファイルを閲覧することで、Windowsエクスプローラがクラッシュする可能性があり、これにより、画像ファイルはSMB共有にホストされ、エクスプロイトがローカルになくとも、リモートからの攻撃が可能となります。これらの拡張機能への更新プログラムは、Microsoft Storeで入手できますので、クローズド環境でない限り、ご使用の機能がアップデートされたバージョンであることを確認する必要があります。
その他、9件のリモートコード実行に関する更新プログラムがリリースされています。Roaming Security Rights Management Services の脆弱性への対応がそれに当たります。ただしこの脆弱性に関しては、Microsoft社からは、攻撃者が脆弱性を悪用する手口の詳細が提供されていません。Windows RuntimeやMobile Device Managementの脆弱性についても詳細が記載されていません。いずれにしても、WindowsのMDM対応で使用されているユーザの場合、これらの更新プログラムを必ず適用してください。さらに、Officeの脆弱性への更新プログラムもリリースされており、これらのリモートコード実行関連の脆弱性に対しては、Dynamics 365(オンプレミス)およびDynamics GPへアップデートによる修正対応が可能です。
Dynamics GPの場合、コンポーネントの特権昇格(EoP、Elevation of Privilege)に関する脆弱性に対処する更新プログラムが3件リリースされています。今月リリースされた18件の特権昇格関連のうちの3件がこちらに相当します。これらの中には、既に周知されているWindows Kernelの脆弱性への対処も含まれています。それ以外の更新プログラムは、ほとんどが他のWindowsコンポーネントに関するもので、修正対応に際しては、ログオンしたユーザが特別に細工したプログラムを実行する必要があります。その他、特権昇格関連の脆弱性対応で特筆すべきは、Windowsプリントスプーラの脆弱性に関するものです。脆弱性「PrintNightmare」以来、プリントスプーラは、攻撃者やセキュリティリサーチャー双方にとって大きな関心事となっています。また脆弱性「CVE-2022-21999」は、中国版の「Pwn2Own」ともいえるハッキングイベント「Tianfu Cup」の期間中に報告されたものです。このイベントで報告された脆弱性の多くは攻撃に利用されることが多く、注意が必要です。
その他、セキュリティ機能回避(SFB、Security Feature Bypass)に関する脆弱性では、上述のMac用Outlookへの対応に加え、2件の更新プログラムがリリースされています。また、Android向けOneDriveの脆弱性に関しては、通常はロック解除されたモバイル端末への物理的なアクセスが必要なところ、この脆弱性を悪用することで、攻撃者は認証を迂回した形でOneDriveのファイルへのアクセスが可能となります。ただし、もとからロック解除が施されたAndroid端末の場合、攻撃者がこの脆弱性を悪用することはないでしょう。他方、SharePointのセキュリティ機能回避に関する脆弱性の場合は、攻撃者がIPレンジに基づくHTTPリクエストのブロックを回避することできるようになるため、より深刻な脆弱性と言えます。
サービス拒否(DoS)に関する脆弱性に対処する更新プログラムは合計5件含まれており、その中でもMicrosoft Teams向けの対応が特筆されます。Microsoft社は、この脆弱性の悪用手口についても詳細を提供していませんが、iOSおよびAndroid版を含むすべてのバージョンのTeamsにアップデートが必要であることは示しています。その他、Hyper-Vサーバにおけるサービス拒否に関する脆弱性の場合は、悪用されると、Hyper-Vホストの機能に影響を与える可能性があるため注意が必要です。また、.NETにおけるサービス拒否の脆弱性の場合は、Kestrel Webサーバを使用するアプリケーションに影響します。Kestrelは、ASP.NET Core内のクロスプラットフォームサーバであり、デフォルトで有効になっているため、あまりよく知られていない可能性があります。インターネットに面したサーバとして Kestrel を使用している場合、特定の HTTP/2 および HTTP/3 のリクエスト処理を突いたサービス拒否の攻撃を防止するためにも、この脆弱性への修正は必ず適用してください。
さらにその他、なりすましに悪用可能な脆弱性では、3件の更新プログラムがリリースされました。その中には、Azure Data Explorer向けの更新も含まれており、この更新を受け取るには、Kusto.Explorerアプリケーションを再起動する必要があります。さらにDynamics GPの場合も、リモートコード実行に関連する脆弱性の更新プログラムとしてリリースされています。この脆弱性は、Webサーバに存在しており、悪用されると、標的となる端末上のユーザのブラウザを介して不正なスクリプトが実行可能となります。また、SharePointでのなりすまし関連の脆弱性の場合は、これまでも確認されてきましたが、今回のケースは若干異なっていました。今回の脆弱性が悪用されると、認証を得た攻撃者がSharePointのページを操作することでユーザを騙し、これにより、攻撃者からのリクエストが許可済のサーバへ送信させることが可能になります。
今月「警告」として評価された唯一の更新プログラムは、WebブラウザEdge(Chromiumベース)の不正操作を可能にする脆弱性に対処するものでした。
なお、今月は新規のアドバイザリは公表されていません。最新のサービススタックの更新については改訂版ADV990001に記載されています。
Microsoft社が2022年2月にリリースした更新プログラムの全リストは、以下のとおりとなります。
CVE番号 | 概要 | 深刻度 | CVSS | 公開の有無 | 悪用の有無 | 悪用タイプ |
CVE-2022-21989 | Windows カーネルの特権昇格の脆弱性 | 重要 | 7.8 | Yes | No | 特権昇格 |
CVE-2022-21984 | Windows DNSサーバのリモートコード実行の脆弱性 | 重要 | 8.8 | No | No | リモートコード実行 |
CVE-2022-23280 | Microsoft Outlook for Macのセキュリティ機能回避の脆弱性 | 重要 | 5.3 | No | No | セキュリティ機能回避 |
CVE-2022-21995 | Windows Hyper-V のリモートコード実行の脆弱性 | 重要 | 7.9 | No | No | リモートコード実行 |
CVE-2022-22005 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 | 8.8 | No | No | リモートコード実行 |
CVE-2022-21986 | .NET サービス拒否の脆弱性 | 重要 | 7.5 | No | No | DoS攻撃 |
CVE-2022-23256 | Azure Data Explorer のなりすましの脆弱性 | 重要 | 8.1 | No | No | なりすまし |
CVE-2022-21844 | HEVC Video Extensionsのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21926 | HEVC Video Extensionsのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21927 | HEVC Video Extensionsのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21957 | Microsoft Dynamics 365 (オンプレミス) のリモートコード実行の脆弱性 | 重要 | 7.2 | No | No | リモートコード実行 |
CVE-2022-23271 | Microsoft Dynamics GP の特権昇格の脆弱性 | 重要 | 6.5 | No | No | 特権昇格 |
CVE-2022-23272 | Microsoft Dynamics GP の特権昇格の脆弱性 | 重要 | 8.1 | No | No | 特権昇格 |
CVE-2022-23273 | Microsoft Dynamics GP の特権昇格の脆弱性 | 重要 | 7.1 | No | No | 特権昇格 |
CVE-2022-23274 | Microsoft Dynamics GP のリモートコード実行の脆弱性 | 重要 | 8.3 | No | No | 特権昇格 |
CVE-2022-23269 | Microsoft Dynamics GP のなりすましの脆弱性 | 重要 | 6.9 | No | No | なりすまし |
CVE-2022-23262 | Microsoft Edge (Chromiumベース) における特権昇格の脆弱性 | 重要 | 6.3 | No | No | 特権昇格 |
CVE-2022-23263 | Microsoft Edge (Chromiumベース) における特権昇格の脆弱性 | 重要 | 7.7 | No | No | 特権昇格 |
CVE-2022-22716 | Microsoft Excelの情報漏えいの脆弱性 | 重要 | 5.5 | No | No | 情報漏えい |
CVE-2022-22004 | Microsoft Office ClickToRunのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-22003 | Microsoft Office ClickToRunのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-23252 | Microsoft Office 情報漏えいの脆弱性 | 重要 | 5.5 | No | No | 情報漏えい |
CVE-2022-21988 | Microsoft Office Visio のリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-23255 | Microsoft OneDrive for Android のセキュリティ機能回避の脆弱性 | 重要 | 5.9 | No | No | セキュリティ機能回避 |
CVE-2022-23254 | Microsoft Power BI における特権の昇格の脆弱性 | 重要 | 4.9 | No | No | 特権昇格 |
CVE-2022-21968 | Microsoft SharePoint Server のセキュリティ機能回避の脆弱性 | 重要 | 4.3 | No | No | セキュリティ機能回避 |
CVE-2022-21987 | Microsoft SharePoint Server のなりすましに関する脆弱性 | 重要 | 8 | No | No | なりすまし |
CVE-2022-21965 | Microsoft Teams のサービス拒否の脆弱性 | 重要 | 7.5 | No | No | DoS攻撃 |
CVE-2022-22715 | Named Pipe File Systemの特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-21974 | Roaming Security Rights Management Services のリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-23276 | SQL Server for Linux Containersにおける特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-21991 | Visual Studio Code Remote Development Extensionのリモートコード実行の脆弱性 | 重要 | 8.1 | No | No | リモートコード実行 |
CVE-2022-22709 | VP9 Video Extensions のリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21996 | Win32k 特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-22710 | Windows Common Log File System Driver のサービス拒否の脆弱性 | 重要 | 5.5 | No | No | DoS攻撃 |
CVE-2022-21981 | Windows Common Log File Systemドライバに特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-22000 | Windows Common Log File Systemドライバに特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-21998 | Windows Common Log File System ドライバの情報漏洩の脆弱性 | 重要 | 5.5 | No | No | 情報漏えい |
CVE-2022-21994 | Windows DWM Core Libraryの特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-22712 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | 5.6 | No | No | DoS攻撃 |
CVE-2022-21992 | Windows Mobile Device Managementのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21997 | Windows Print Spoolerの特権昇格の脆弱性 | 重要 | 7.1 | No | No | 特権昇格 |
CVE-2022-21999 | Windows Print Spoolerの特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-22717 | Windows Print Spoolerの特権昇格の脆弱性 | 重要 | 7 | No | No | 特権昇格 |
CVE-2022-22718 | Windows Print Spoolerの特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-22001 | Windows Remote Access Connection Managerの特権昇格の脆弱性 | 重要 | 7.8 | No | No | 特権昇格 |
CVE-2022-21985 | Windows Remote Access Connection Managerの情報漏えいの脆弱性 | 重要 | 5.5 | No | No | 情報漏えい |
CVE-2022-21971 | Windowsランタイムのリモートコード実行の脆弱性 | 重要 | 7.8 | No | No | リモートコード実行 |
CVE-2022-21993 | Windows Services for NFS ONCRPC XDR Driverの情報漏えいの脆弱性 | 重要 | 7.5 | No | No | 情報漏えい |
CVE-2022-22002 | Windows User Account Profile Picture によるサービス拒否の脆弱性 | 重要 | 5.5 | No | No | DoS攻撃 |
CVE-2022-23261 | Microsoft Edge (Chromiumベース) の改ざんに関する脆弱性 | 警告 | 5.3 | No | No | 改ざん |
CVE-2022-0452 * | Chromium: CVE-2022-0452 Use after free をセーフブラウジングで使用 | 高 | N/A | No | No | N/A |
CVE-2022-0453 * | Chromium: CVE-2022-0453 Reader ModeでのUse after freeについて | 高 | N/A | No | No | N/A |
CVE-2022-0454 * | Chromium: CVE-2022-0454 ANGLE におけるヒープバッファオーバーフロー | 高 | N/A | No | No | N/A |
CVE-2022-0455 * | Chromium: CVE-2022-0455 フルスクリーンモードでの不適切な実装 | 高 | N/A | No | No | N/A |
CVE-2022-0456 * | Chromium: CVE-2022-0456 Web検索におけるUse after freeについて | 高 | N/A | No | No | N/A |
CVE-2022-0457 * | Chromium: CVE-2022-0457のV8 におけるType Confusion | 高 | N/A | No | No | N/A |
CVE-2022-0458 * | Chromium: CVE-2022-0458 サムネイルタブストリップにおけるUse after freeについて | 高 | N/A | No | No | N/A |
CVE-2022-0459 * | Chromium: CVE-2022-0459 Screen Capture でのUse after free について | 高 | N/A | No | No | N/A |
CVE-2022-0460 * | Chromium: CVE-2022-0460 Window Dialog のUse after freeについて | 中 | N/A | No | No | N/A |
CVE-20 2-0461 * | Chromium: CVE-2022-0461 COOP でのポリシーバイパス | 中 | N/A | No | No | N/A |
CVE-2022-0462 * | Chromium: CVE-2022-0462 Scroll での不適切な実装 | 中 | N/A | No | No | N/A |
CVE-2022-0463 * | Chromium: CVE-2022-0463 アクセシビリティにおけるUse after freeについて | 中 | N/A | No | No | N/A |
CVE-2022-0464 * | Chromium: CVE-2022-0464 アクセシビリティにおけるUse after freeについて | 中 | N/A | No | No | N/A |
CVE-2022-0465 * | Chromium: CVE-2022-0465 拡張機能における Use after freeについて | 中 | N/A | No | No | N/A |
CVE-2022-0466 * | Chromium: CVE-2022-0466 拡張機能プラットフォームにおける不適切な実装 | 中 | N/A | No | No | N/A |
CVE-2022-0467 * | Chromium: CVE-2022-0467 Pointer Lock における不適切な実装 | 中 | N/A | No | No | N/A |
CVE-2022-0468 * | Chromium: CVE-2022-0468のPayments でのUse after free について | 中 | N/A | No | No | N/A |
CVE-2022-0469 * | Chromium: CVE-2022-0469 Cast における User after free について | 中 | N/A | No | No | N/A |
CVE-2022-0470 * | Chromium: CVE-2022-0470のV8 における圏外メモリアクセスについて | 低 | N/A | No | No | N/A |
次回のセキュリティアップデート
次回のセキュリティアップデートは2022年3月8日の予定となっています。次回も新たに対応された脆弱性の詳細についてお知らせいたします。そして今回紹介された更新プログラムについては、ご使用の端末がリスクにさらされないためにも、速やかに適用することを推奨いたします。
参考記事:
- 「THE FEBRUARY 2022 SECURITY UPDATE REVIEW」
by Dustin Childs
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)