エクスプロイト&脆弱性
2022年7月 セキュリティアップデート解説:Windows「CSRSS」含む113件の脆弱性に対処
2022年7月12日火曜日にAdobe社およびMicrosoft社からの最新のセキュリティアップデートが報告されています。本稿では、この2社が提供する最新のセキュリティアップデートをご紹介します。
2022年7月に報告されたAdobe社からのセキュリティアップデート
2022年7月、Adobe社では、Acrobat/Reader、Photoshop、RoboHelp、Adobe Character Animatorの4つのアプリケーションにおいてCVE脆弱性27件への対処が実施されました。これらの脆弱性のうち、合計24件がZDIから報告されました。Acrobat/Readerへのアップデートでは「緊急」および「重要」に分類された脆弱性が22件に及んでいました。最も深刻なものは、特別に細工されたPDF文書の開封でリモートコードが実行される脆弱性です。攻撃事例は報告されていませんが、Adobe社はこの脆弱性を優先度2に分類しています。Photoshopへのアップデートでは「緊急」および「重要」と分類された脆弱性が1件ずつ対処されました。「重要」に分類された脆弱性はリモートコード実行の可能性があるメモリ解放後使用(Use-After-Free(UAF))関連のものでした。Character Animatorへのアップデートでは、ヒープオーバーフローと境界外読み込み(OOB Read)に関する「緊急」に分類された2件の脆弱性に対処が施されました。この脆弱性でもリモートコード実行の被害に遭う可能性があります。最後に、RoboHelpに対するアップデートでは、「重要」に分類されたクロスサイトスクリプティング(XSS)の脆弱性への対処が実施されました。
今月Adobe社が修正した脆弱性の中には、既に周知されていたものや攻撃に悪用されていたものはありませんでした。同社の適用優先度は、Acrobatへの対応が例外的に2である以外は、いずれも3に分類されていました。
2022年7月に報告されたMicrosoft社からのセキュリティアップデート
2022年7月、Microsoft社では、Microsoft WindowsおよびWindowsコンポーネント、Windows Azureコンポーネント、Microsoft Defender for Endpoint、Microsoft Edge(Chromiumベース)、OfficeおよびOfficeコンポーネント、Windows BitLocker、Windows Hyper-V、Skype for BusinessおよびMicrosoft Lync、オープンソース ソフトウェア、XboxのアプリケーションにおいてCVE脆弱性84件への対処が実施されました。加えて、Microsoft Edge(Chromiumベース)でもCVE脆弱性2件への修正適用が実施されました。これにより、CVE脆弱性件数は合計86件となりました。
今回2022年7月のセキュリティアップデートでは、多くの対応件数が予測されていましたが、それでもまだ前回開催したハッキングコンテストであるPwn2Ownで報告された複数の脆弱性に対する修正は用意されていないようです。そして、先月からの短い期間にもかかわらず、プリントスプーラ(Print Spooler)の脆弱性に対する追加アップデートが含まれていました。この脆弱性に関しては、今後も毎月何らかの更新が実施される可能性が予測されます。
CVE脆弱性84件のうち、4件が「緊急」、80件が「重要」の深刻度に分類されていました。このうち1件がZDIから報告されたものです。これらの脆弱性の中で周知されていたものはありませんでしたが、CSRSSに関する脆弱性の1つが攻撃に悪用されたことが確認されています。攻撃の悪用が確認されたCSRSS関連を含め、いくつかの詳細は以下のとおりとなります。
CVE-2022-22047 - Windows CSRSS における特権昇格の脆弱性
この脆弱性は、攻撃で悪用されたことが記載されているものの、どこでどの程度広く悪用されているかについての情報はMicrosoftから公表されていません。この脆弱性が悪用されると、攻撃者は、ターゲット上で他のコードを実行できる場合にSYSTEMとしてのコード実行が可能となります。この種の脆弱性は、通常、リモートコード実行を介して、特別に細工されたOfficeやAdobeの文書による対象システムへの乗っ取りに悪用されます。なお、これらの攻撃はマクロに依存することが多いことから、Microsoft社側のマクロのデフォルト無効化に対する遅延がユーザの不安を煽ったようです。
CVE-2022-30216 - Windows Server サービス改ざんの脆弱性
この脆弱性は、Windows Server サービスの改ざんに関するもので、悪用されると、認証を突破した攻撃者が不正な証明書を標的のサーバへアップロードすることが可能となります。脆弱性のタイトルには「改ざん」と記載されていますが、攻撃者は、標的のシステムへ独自の証明書をインストールできることから、リモートコード実行を含むさまざまな目的でこの脆弱性が悪用される可能性があります。通常、改ざん関連の脆弱性はあまり注目されない印象ですが、Microsoft社は、この脆弱性には、最も深刻な脆弱性悪用指標を付与しており、これは30日以内に攻撃で悪用される可能性があることを意味しています。特に重要なサーバをご使用の場合は、直ちに修正パッチを適用してください。
CVE-2022-22029 - Windows ネットワークファイルシステムにおけるリモートコード実行の脆弱性
この脆弱性は、3ヶ月連続で「緊急」に分類されたNFS関連の不具合であり、今回指摘されたものは、以前のものよりもCVSSレベルが低いものの、認証されていない攻撃者が、対象のシステム上でユーザの介入なしにリモートコード実行できる点で深刻といえます。Microsoft社は、この脆弱性の悪用には複数の手法が必要であるとも指摘していますが、脆弱性への監査がない限り発見できないタイプのものであり、気づき難いことも懸念点といえます。NFSをご使用の場合は、直ちに修正パッチを適用してください。
CVE-2022-22038 - リモートプロシージャコールランタイムのリモートコード実行の脆弱性
この脆弱性が悪用されると、認証されていない攻撃者から対象のシステム上でリモートコード実行の被害に遭う可能性があります。また今回の報告では明記されていませんが、リモートコード実行は、昇格された権限で行われると推測されます。これらの特徴を組み合わせると、潜在的にワーム攻撃が可能な脆弱性と判断することも可能となります。Microsoft社は、攻撃者がこの脆弱性を悪用する際には、繰り返し実行する必要があるため、攻撃手法は複雑で難易度が高いものと述べていますが、RPCの活動を積極的にブロックしていない限り、これら攻撃の試みを完全に阻止することは難しいといえます。なお、悪用時の手法が複雑でないケースも想定されており、この場合は、スクリプトで試行できる可能性が高いことから、攻撃に悪用されやすい為CVSSは9.8に分類されます。これらに関してテストを実施し、直ちに修正パッチを適用することを推奨します。
なお、Google社はChromiumの脆弱性(CVE-2022-2294)の悪用のリスクを認識しています。Microsoft Edge(Chromiumベースのブラウザ)を使用している場合は、できるだけ早く更新するようにしてください。
その他、特筆すべきはAzure Site Recoveryサービスに対する32件にも及ぶ修正プログラムです。これらのうち、2件はリモートコード実行の脆弱性であり、残りは特権昇格に関する脆弱性でした。これは主にクラウドベースのサービスですが、オンプレミスのコンポーネントも含まれています。これらの脆弱性への自動更新は期待できず、いずれの場合も、修正対応のためにはバージョン9.49へアップグレードする必要があります。アップグレードの方法は、こちらをご覧ください。1つのコンポーネントに対して1ヶ月でこれほど多くのCVE脆弱性の対処が実施されるのは異例といえ、Microsoft社がなぜこのような方法での対応に至ったかははっきりしていません。いずれにしても、Azure Site Recoveryをご使用の場合は、必要なコンポーネントをすべて更新するようにしてください。
「緊急」に分類された脆弱性としては、前回指摘された脆弱性に加え、今回2つのNFS関連の脆弱性が挙げられます。この脆弱性は、前回のものとよく似ていますが、CVSSの数値が若干低くなっています。それでも「緊急」であることは変わりなく、CVSSの評価も変化する可能性がある為、危険度が低いものと考えるべきではないでしょう。なお、今月の最も高いCVSSを示した脆弱性は、Windows Graphic Component関連のものでした。このタイプの脆弱性は、通常、ファイルの開封や画像の表示を促す手法などで悪用されます。
その他に「緊急」として分類された脆弱性の中には、企業や組織の業務に深刻な影響を及ぼすことが懸念されるものが挙げられます。1つ目は、DNSサーバコンポーネントの脆弱性への対応です。注目すべき脆弱性ではありますが、この場合、脆弱性悪用のためには、攻撃者が昇格した特権を保持していることが条件となっています。もう1つは、Windowsシェル関連のリモートコード実行の脆弱性です。この場合、攻撃者は、端末が置かれた場所でログオン画面を操作する必要があります。この点からも、侵入者をオフィスに立ち入れさせないという物理的なセキュリティを軽視するべきではありません。また、古いアプリケーションに対するものではありますが、Skype for BusinessおよびLyncに存在するリモートコード実行の脆弱性も挙げられます。この場合、脆弱性悪用の可能性を低くする設定条件が存在する他、L2TP(Layer 2 Tunneling Protocol)への修正パッチも利用可能です。現在L2TPのユーザどれくらい存在しているかは不明ですが、ご使用の場合は、直ちに修正パッチを適用することを推奨します。同様に旧来型の通信方法という意味では、Windows Faxサービスにもリモートコード実行の脆弱性2件指摘されています。こちらも修正パッチの適用を推奨します。
特権昇格の脆弱性は52件指摘されており、上述したAzure Site Recoveryの30件もここに含まれています。CSRSSには、攻撃での悪用が確認されたもの以外では、特権昇格の脆弱性が2件指摘されています。これらの脆弱性のほとんどは、特権昇格に際しては、ターゲット上でリモートコード実行が可能であることが条件となります。そして、これらの脆弱性を悪用することで、SYSTEMもしくはその他上位権限への昇格が可能となります。なお、Media Playerネットワーク共有サービスの脆弱性は、例外的にレジストリキーを削除するために利用される可能性があります。IIS関連の脆弱性は、悪用されると、攻撃者がIISサーバの認証を迂回することが可能となるため、修正プログラムは、この悪用への対処として用意されています。グループポリシー関連の脆弱性は、悪用の際に、攻撃者がグループポリシーテンプレートの作成権限を保持していることが条件となります。この点からMicrosoft社は、これらの対象グループを定期的に監査するよう注意を促しており、実行可能な良いアドバイスと言えます。その他、Xbox Live Save Serviceの脆弱性への修正パッチもリリースされています。なお、この脆弱性が悪用された場合、攻撃者がどのような特権を得られるかは明らかではありません。Microsoft社の説明では、攻撃経路をローカルと記載しているので、恐らく同じXboxの複数のユーザプロファイルが影響を受けるなどのような影響と推測されます。そして最後に1ヶ月間更新されていなかった脆弱性Print Spoolerへの修正パッチが新たに4件公開されました。今後もこの脆弱性への修正は続くでしょう。
DoS攻撃関連の脆弱性では、修正パッチが3件リリースされており、いずれも影響が大きいものです。1つ目の脆弱性は、Security Account Manager (SAM)に影響を与えるものです。Microsoft社は、この影響に関する詳細を明言していませんが、SAMに対するDoS攻撃として、恐らくドメインへのログオンの問題に関するものと推測されます。もう1つDoS攻撃関連の修正パッチは、IISの脆弱性へ対応するものであり、URL情報のユーザモードキャッシュを提供するCachuriモジュールに対処するものです。そして3つ目は、動的圧縮モジュールに関するもので、その名称が示すとおり、IISが様々なハンドラから来る応答を圧縮させる機能へ影響を与えるものです。いずれも、Webサイトの完全停止にはつながらないようですが、サービス低下の影響となることは間違いないでしょう。
上記の改ざん関連の脆弱性に加え、Microsoft Defender for Endpointにも改ざんに関連する脆弱性が指摘されています。ただし、この脆弱性が悪用されるためには、攻撃者は、管理コンソールアプライアンスの認証を通過して統合トークンを保持していることが条件となります。
セキュリティ機能回避関連の脆弱性4件のうちの3件は、物理的なアクセスが共通の条件となっています。1つ目は、暗号化ツールBitLocker関連の回避機能であり、電源の入っていない端末に攻撃者が物理的にアクセスできた場合、暗号化されたデータへのアクセスが可能となります。2つ目は、Boot Managerに存在する脆弱性の場合も、悪用されると、物理的なアクセスを持つ攻撃者がセキュアブートを回避してプリブート環境へのアクセスが可能となります。3つ目は、Windows Portable Device Enumeratorサービスの回避に関する脆弱性であり、悪用されると、攻撃者は、グループポリシーの適用に失敗したシステムにUSBストレージデバイスを装着することが可能となります。最後の(物理的なアクセスが条件でない)1件のセキュリティ機能回避関連の脆弱性の場合は、特別に細工されたOfficeファイルを開封させることで悪用可能となります。
情報漏えい関連の脆弱性では、7件に対して新たな修正対応が実施されていました。これらのほとんどは、不特定多数のメモリ内容からなる漏えいを引き起こすだけですが、いくつかの注目すべき例外が挙げられます。例えば、BitLockerに存在する脆弱性の場合、悪用されると、物理的にアクセスできるローカルの攻撃者は、暗号化されていない生のディスクセクタの情報を閲覧することが可能になります。暗号化ツールというBitLocker の目的を考慮すると、これもほぼセキュリティ機能回避と考えられます。Hyper-Vに存在する脆弱性では、悪用されると、攻撃者は、ゲストOS上でHyper-Vホストからの情報窃取が可能となります。Azure Storage Libraryに存在する脆弱性の場合、悪用されると、攻撃者は、クライアント側でデータを復号し、ファイルやBLOB(Binary Large OBject)内容の開示が可能となります。また、情報漏えい関連のものとしては、セキュリティ機関「HackerOne」が確認したCVE脆弱性も指摘されており、この脆弱性が悪用されると、攻撃者は、コマンドラインcurlを介して認証やCookieヘッダデータを窃取することが可能となります。この脆弱性に対しては、2022年4月に修正パッチがリリースされており、現在はcurlを使用するMicrosoft製品に適用されています。
最後に、AMD CPUのBranch Type Confusionへの対応では、情報漏えい関連の脆弱性2件が指摘されています。これらは、先月インテル社によって最初に報告された脆弱性「Hertzbleed」に関連するものです。この脆弱性の悪用は、投機的実行サイドチャネルを利用していた点で学術的な観点からは興味深いものの、現実世界ではそれほど大きな影響を及ぼしていませんでした。
2022年7月は、新規のアドバイザリは発表されていません。最新のサービシングスタックの更新は改訂版ADV990001に記載されています。
次回のセキュリティアップデート
次回のセキュリティアップデートは8月9日です。それまでは今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
2022年7月にMicrosoftが発表したCVEの全リストはこちらをご参照ください。
参考記事:
• 「THE JULY 2022 SECURITY UPDATE REVIEW」
By: Dustin Childs
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)