エクスプロイト&脆弱性
2022年11月 セキュリティアップデート:Microsoft Exchange Serverの脆弱性を含めた全69件に対応
2022年のパッチチューズデー(月例セキュリティアップデート)も今回を含めて後2回となりました。Microsoft社から最新のセキュリティアップデートがリリースされましたので、今回発表されたセキュリティアップデートの詳細を確認しましょう。
2022年のパッチチューズデー(月例セキュリティアップデート)も今回を含めて後2回となりました。Microsoft社から最新のセキュリティアップデートがリリースされましたので、今回発表されたセキュリティアップデートの詳細を確認しましょう。
2022年11月のAdobe社からのセキュリティアップデート
11月については、Adobe社は全く修正パッチをリリースしていません。過去には1件だけのリリースという月はありましたが、全くリリースされていない月は過去6年間で初めてのことです。2016年以降、今月のようにパッチチューズデーが米国の選挙当日と重なったことがなかったため、今回は選挙の影響が関係しているのかもしれません。原因が何であれ、この11月がAdobe社からのアップデートがない月となることは確かです。
2022年11月のMicrosoft社からのセキュリティアップデート
今月、Microsoft社は、以下の製品の脆弱性に対応する64件の新たな修正パッチをリリースしました。
- Microsoft WindowsおよびWindowsコンポーネント
- AzureおよびAzure Real Timeオペレーティングシステム、Microsoft Dynamics、Exchange Server
- OfficeおよびOfficeコンポーネント
- SysInternalsおよびVisual Studio
- SharePoint Server
- ネットワークポリシーサーバ(NPS)
- Windows BitLocker
- LinuxカーネルおよびOpen Source Software
これらに加えて、サードパーティが提供する5件の脆弱性がMicrosoft製品に統合され、合計69件の修正が行われました。これらの脆弱性のうち8件は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative(以下、ZDI)」のプログラムを通じて提出されたものです。
本日公開された64件の新たな修正パッチのうち、深刻度が「緊急」と評価されたものは11件、「重要」と評価されたものは53件であり、量的には、過去の11月のリリース件数と同様となります。年間比較では、2021年のリリース件数を上回り、2022年は、過去2番目に修正パッチ件数が多い年となりました。
今月報告された新たな脆弱性対応のうち、1件は周知済み、6件は公表時に未対応であったと記載されており、これらの中には9月から活発な攻撃で悪用されているExchangeの脆弱性2件も含まれています。待ち望んでいたExchange関連の脆弱性の修正内容から詳しく見ていきましょう。
主要な脆弱性
CVE-2022-41082 – Microsoft Exchange Server のリモートコード実行の脆弱性およびCVE-2022-41040 - Microsoft Exchange Server における特権昇格の脆弱性:これらの修正パッチは、現在活発な攻撃に悪用されている最近のExchangeの脆弱性に対応するものです。先月から予想されていた修正対応が(他のいくつかのExchangeの脆弱性への修正と合わせて)ようやく登場したといえます。これらの脆弱性は、9月初めにZDIがリサーチャーから購入してMicrosoft社へ報告したものです。その後も、これらの脆弱性の悪用ケースがいくつか確認されていました。Microsoft社は、いくつかの異なる対応策を発表していますが、最善策は、今回の修正プログラムをテストして適用することです。これらの修正パッチが今月中にリリースされるか心配されていたので、まずは一安心といえます。
CVE-2022-41128 – Windowsスクリプト言語によるリモートコード実行の脆弱性:JScript関連のこの脆弱性は、攻撃で悪用されているものとしても報告されています。悪用の際には、特別に細工されたウェブサイトや共有サーバにユーザを誘い込む必要があります。これにより、ログオンしているユーザの権限レベルで、感染端末上でのコード実行が可能となります。Microsoft社は、この脆弱性がどの程度広がっているのかについては何も説明していませんが、ブラウザ上で攻撃が完了するタイプの悪用が可能であることを考えると、今後、脆弱性悪用ツールに含まれる攻撃者にとって汎用性の高い脆弱性になるとも予想されます。
CVE-2022-41091 – Windows Mark of Web セキュリティ機能回避の脆弱性:TwitterでWill Dormann氏をフォローしている人は、この脆弱性についてすでによくご存知かと思います。Webからの痕跡(Mark of the Web: MoW)のセキュリティ機能は、インターネットからダウンロードされたファイルに適用されます。このセキュリティ機能で検知されたファイルは、アクセスする時に警告表示がされる扱いとなります。この脆弱性は、活発な攻撃で悪用されているとの記載もありますが、Microsoft社は、これらの攻撃がどの程度広がっているかについての情報は提供していません。
CVE-2022-41073 – Windows Print Spoolerの特権昇格に関する脆弱性:脆弱性PrintNightmareの悪用は、攻撃者がWindows Print Spoolerという広大な攻撃対象領域を掘り起こすために今も続いています。Print Spooler関連の脆弱性が報告されて以降、多くの修正パッチが公開されましたが、今回この脆弱性の場合は、現在も悪用可能とされています。特に言及されていませんが、この場合、Print Spoolerを無効にすることは有効な回避策になるはずです。無効化することで印刷はできなくなりますが、修正パッチを適応できない状況下での選択肢の1つとなります。
CVE-2022-41125 – Windows CNG Key Isolation Serviceにおける特権昇格の脆弱性:11月の活発な攻撃で悪用されている主要な脆弱性として最後に「Cryptography Application Programming Interface - Next Generation」(CNG)のKey Isolationサービスでの権限昇格があげられます。攻撃者は、この脆弱性を悪用することで自身のコードを端末のSYSTEM上で実行することが可能となります。このため、このような脆弱性は、多くの場合、何らかの形でリモートコード実行の脆弱性悪用と組み合わされることになります。今回の他の悪用ケースと同様、この脆弱性もどの程度広く悪用されているかは不明ですが、現時点で悪用事例が確認された要注意の脆弱性であることは確かです。したがって迅速なテストとセキュリティアップデートは不可欠です。
その他の脆弱性
今月は、Exchange Serverに存在する4件の脆弱性が追加で修正対応され、そのうちの3件はZDIの脆弱性リサーチャーPiotr Bazydło氏の報告によるものです。そして最も注目すべきは、今回の脆弱性は「D:」ドライブ上のファイルへのパスをハードコード化することで特権昇格が可能となる脆弱性である点です。したがって「D:」が存在し、攻撃者が指定されたフォルダにDLLを置く場合、脆弱性の悪用により、そのDLLの読み込みが可能となります。デフォルトでは、低い権限のユーザは 「D:」ドライブへの書き込みアクセス権を持っています(このドライブが存在すると仮定した場合)。別の悪用経路としては、低い権限の攻撃者が光ディスクを挿入したり、「D: 」の文字が割り当てられる外付けドライブを取り付けたりすることも可能となります。このようにハードコードされたパスがExchange内に存在するとは信じがたいことですが、このリスクは確かに存在しています。さらに今回の脆弱性の2件は、認証された攻撃者が NTLMv2 チャレンジを取得し、最終的にさらなる NTLM Relaying 攻撃を行うことを可能にします。これらの脆弱性悪用のリスクに対処するため、Exchange管理者の多くが修正パッチの適用に追われることになるでしょう。
「緊急」に分類された残りの脆弱性の中では、Kerberos関連の特権昇格の脆弱性が特筆されます。これらには修正パッチを適用するだけでなく、さらなる対策が必要です。具体的には、KB5020805とKB5021131を参照して変更点および次のステップを確認する必要があり、Microsoft社は、これは段階的な修正プログラムの適用であり、Kerberos機能に影響を与える追加アップデートが展開されると述べています。また、スクリプト言語に関する修正対応も今回報告されています。それらはJScriptおよびChakraに関する脆弱性です。ただし活発な攻撃に悪用されているという記載はありません。その他、Point-to-Point Tunneling Protocol(PPTP)に関する「緊急」の脆弱性にも関する修正対応が3件報告されています。こういった脆弱性の報告は、リサーチャーが古いプロトコルの不具合を調査する傾向に起因しています。今だPPTPに依存している場合は、現代的なものにアップグレードすることをお勧めします。さらにその他、Hyper-Vに「緊急」に分類されたサービス妨害(DoS)の脆弱性が報告されていますが、これはかなり珍しいことです。DoS関連の脆弱性が「緊急」に分類されることはほとんどありませんが、今回Microsoft社は「この脆弱性が悪用されると、Hyper-VのゲストがHyper-Vのホストの機能に影響を与えることができるようになる」と述べています。この点では、CVSSスコア6.5にもかかわらず、「緊急」に分類されるのに十分な深刻度であるといえます。Azure CLI関連の修正対応は、2週間ほど前から公開されていたものが、今回の報告に含まれています。
上述の修正対応の他、ZDIの脆弱性リサーチャーHossein Lotfi氏が報告したWindows Graphics Componentのメモリ破壊の脆弱性を含め、リモートコード実行の脆弱性では、11件の修正が提供されています。また、ZDIの脆弱性リサーチャーMat Powell氏とMichael DePlante氏によるものを含め、各種Officeコンポーネントに存在する複数のRCE 関連の脆弱性が報告されています。これらのケースでは、悪用に際してユーザのアクションが必要になります。ただしプレビューペインを介しての悪用ではありません。認証済みのSharePointに存在するリモートコード実行関連の脆弱性の場合、デフォルトのユーザがSharePointサーバを乗っ取るのに必要な権限を持っていることで悪用されます。Azure RTOSに存在する脆弱性の場合は、ユーザが特別に細工したコードを実行する必要があるため、悪用するには、ソーシャルエンジニアリングの手口でユーザを巻き込むことが必要になります。その他のリモートコード実行関連の脆弱性2件は、ODBCドライバに存在するもので、悪用するには、同様にソーシャルエンジニアリングの手口が必要となります。この場合、攻撃者は、誰かにODBC経由で自分のSQLサーバに接続するように説得する必要があります。もし攻撃者が、感染したシステムに対してこのようなソーシャルエンジニアリングの手口が成功した場合、クライアント上でリモートコード実行が可能となります。
今回のリリースでは、上述のものを含め、合計26件の脆弱性が特権昇格(EoP)関連のものとなっています。これらの脆弱性の大半は、悪用に際して、認証済みのユーザが、端末上で特別に細工されたコードを実行する必要がありますが、その中でも以下の脆弱性が特筆されます。1つ目は、Netlogonの脆弱性への修正対応であり、上述のKerberos関連の脆弱性への修正と似た傾向を示しています。Microsoft社は、この脆弱性に関して段階的にアップデートを配布しており、IT管理者は、追加手順についてKB5021130を確認する必要があります。Azure CloudCycleに存在する脆弱性では、ブルートフォース対応のコンポーネントがあり、脆弱性の悪用が困難になることが予想されます。それでもAzure上のHPC環境を管理するためにCloudCycleを使用している場合、セキュリティアップデートを怠らないようにしてください。ALPCの脆弱性への修正対応では、この脆弱性が実行環境からの回避に悪用される可能性が指摘されています。この指摘は今回が初めてではないと思われますが、Microsoft社が過去にこの点に言及した記録があるかどうかは定かではありません。最後にSysInternalsのサービスにおける特権昇格の脆弱性をあげておきます。このツールは、インシデント対応担当者がよく使うものなので、感染端末の復旧に向かう前に必ず最新版にしておいてください。
情報漏えい関連の脆弱性では、8件に対して修正対応が実施されました。今回の情報漏えい関連脆弱性のほとんどは、不特定多数のメモリ内容漏えいのみですが、1件だけ顕著な例外があります。Business Centralに存在する脆弱性は、管理者の認証が必要ですが、別のパートナーが所有する統合関連の機密情報が開示される可能性があります。この機密情報を利用すると、他のクライアントへのなりすましが可能となります。
今月は、攻撃に悪用されているWebからの痕跡(MoW)関連の脆弱性への修正を含め、合計4件のセキュリティ機能回避関連の脆弱性が修正対応される予定です。MoW関連の脆弱性への修正はもう1件報告されていますが、こちらは活発な攻撃での悪用に関する記載はありません。Excelに存在する脆弱性への修正プログラムでは、INDIRECT関数のコンテンツチェックをバイパスする不具合に対応しています。さらに注目すべきは、BitLockerに存在する脆弱性であり、悪用されると、物理的にアクセスできる攻撃者がDevice Encryption機能をバイパスして、暗号化されたデータにアクセスできるようになる可能性があります。このバイパス回避の阻止は、デバイスの暗号化に関する厄介な作業となるため、悪用事例の有無にかかわらず、注意が必要です。
DoS攻撃関連の脆弱性では5件の修正対応が実施されました。このうち4件はネットワークプロトコルに関するもので、PPTP、RADIUS、Network Address Translation(NAT)が影響を受けています。脆弱性が悪用されると、これらのプロトコルのサービスが応答不能に陥ります。Kerberos関連の脆弱性も同じく、ログオンやKerberosサービスに依存する他の機能に影響を与える可能性があります。
なりすまし関連の脆弱性では、SharePointサーバに存在するものが1件報告されています。これに関しては、認証が必要であること以外、悪用シナリオに関する情報は報告されていません。
最後に、OpenSSLの脆弱性についてですが、今回のリリース前に大きく注目されていましたものの、大きな騒ぎとはならず収束したとはいえます。それでもMicrosoft製品向けの修正対応として今回のリリースに含まれています。
なお、今月は、Microsoft Officeの多層防御機能に対応するアドバイザリが1件報告されています。この新機能は、IRMで保護された文書に対して、証明書の信頼性の連鎖を確保するためのハードニングを提供します。最新のサービシングスタックに関する更新は、改訂版ADV990001に記載されています。
参考記事:
• 「THE NOVEMBER 2022 SECURITY UPDATE REVIEW」
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)