エクスプロイト&脆弱性
2023年2月 セキュリティアップデート解説:Adobe社28件、Microsoft社76件の脆弱性に対応
2023年2月のセキュリティアップデートでは、Adobe社28件、Microsoft社76件の脆弱性への修正対応が実施されました。
2023年2月Adobe社からのセキュリティアップデート
Adobe社は、2023年2月、Adobe Photoshop、Substance 3D Stager、Animate、InDesign、Bridge、FrameMaker、Connect、After Effectsの製品について、合計28件の脆弱性に対処する修正パッチ9件をリリースしました。このうち21件は、ZDIのリサーチャーMat Powell氏が報告した脆弱性となります。この中で最も興味深い修正対応はPhotoShopに対するものでしょう。この対応では、脆弱性5件への修正が施されており、そのうち3件は「緊急」に分類されています。これらの脆弱性が悪用された場合、影響を受けるシステムのユーザに不正なファイルを開封させることで、任意のコード実行が行使される可能性があります。これは、同社製品のPremier Rushで発生した脆弱性への修正対応と同様のシナリオでもあり、こちらもかつて「緊急」に分類された脆弱性2件のコード実行に関する修正対応が施されました。Animateへの修正パッチでは、同様にコード実行関連の脆弱性3件への対応が施されています。Adobe Bridgeへの修正パッチでは、「緊急」に分類されたコード実行の脆弱性5件に加え、メモリリーク関連の脆弱性2件にも対処されました。After Effectsへの修正パッチでは、コード実行関連の脆弱性3件に加え、こちらもメモリリーク関連の脆弱性への対応が施されています。FrameMakerへの修正パッチでは、コード実行とメモリリークが混在する脆弱性へ対応がなされています。
Adobe Connectへの修正パッチでは、セキュリティ機能バイパス関連の脆弱性への対応がなされています。ただしどのようなセキュリティ機能のバイパスなのかに関する詳細情報は提供されていません。InDesignへの修正パッチでは、NULLポインタの参照解除によるサービス拒否の脆弱性への対応が施されています。Adobe Substance 3D Stagerへの修正パッチでは、新たに確認された脆弱性への対応でなく、3Dモデリングツールで使用されるサードパーティライブラリへの更新対応となっています。
今月同社が対応した脆弱性では、リリースの時点で周知されていたものや、攻撃に悪用されていたものはありませんでした。同社は今回の修正対応を優先度3として分類しています。
2023年2月 Microsoft社からのセキュリティアップデート
Microsoft社は、2023年2月、以下の各製品の脆弱性への対応として合計75件の修正パッチをリリースしました。そして以前はサードパーティの製品で、現在はMicrosoft製品に組み込まれている1件を含めて合計76件となります。
- Microsoft WindowsおよびWindowsコンポーネント
- OfficeおよびOfficeコンポーネント
- Exchange Server
- .NET CoreおよびVisual Studio Code
- 3D BuilderおよびPrint 3D
- Microsoft AzureおよびDynamics 365
- Defender for IoTおよびマルウェア保護エンジン
- Microsoft Edge(Chromiumベース)
これらの対応では、以前にリリースされたEdge関連の脆弱性対応に加え、現在同社製品向けに出荷されているサードパーティ製への修正プログラムも含まれています。今回対応された脆弱性のうち、8件がZDIからの報告によるものでした。
今回リリースされた修正パッチのうち、深刻度「緊急」に分類されたものが9件、「重要」に分類されたものが66件でした。これらの件数は、例年の2月リリース分としては典型的な分量ですが、これらのほぼ半数がリモートコード実行(RCE)関連脆弱性への対応であったという点では異例といえます。
今月公表された脆弱性は、いずれも一般的に知られているものではありませんが、公表時に悪用が確認されたものが3件となっています。以下、今月修正対応された脆弱性の中から、主要なものや悪用されたものについて見ていきましょう。
主要な脆弱性
CVE-2023-21715 - Microsoft Office セキュリティ機能バイパスの脆弱性
Microsoft社は、この脆弱性を悪用が確認されたものとして分類していますが、悪用事例がどの程度拡散しているかの情報は提供していません。それでも一般的に企業向けアプリケーションにおける悪用事例は無視できないものであり、セキュリティ機能のバイパスだけでなく、攻撃に悪用される可能性は憂慮すべき状況といえます。この修正プログラムが有効な解決策となることを期待しています。
CVE-2023-23376 - Windows Common Log File System Driver特権昇格の脆弱性
こちらも悪用が確認された脆弱性として分類されていますが、残念ながら悪用事例に関する詳細情報はほとんど提供されていません。Microsoft社は、この脆弱性が悪用されると、SYSTEMとしてコードが利用され、標的への乗っ取りが可能になると指摘しています。このため、この脆弱性は、マルウェアやランサムウェアを拡散させるためのリモートコード実行(RCE)の脆弱性と連携して悪用される可能性があります。この脆弱性が同社の「Threat Intelligence Center(通称MSTIC)」によって発見された事実からも、高度な攻撃者に悪用されたことを示唆しています。いずれにしても、これらの修正プログラムを迅速にテストして修正パッチを適用することが急務です。
CVE-2023-21716 - Microsoft Wordリモートコード実行の脆弱性
通常、Wordの脆弱性は、Outlookプレビューペインが攻撃経路でない限り、あまり注目されませんが、今回もそのようなケースといえます。ただし「CVSS 9.8」に分類されたこの脆弱性は、悪用されると、攻撃者がユーザの操作に依存せず、ログオン中のユーザレベルでコードを実行してしまう可能性があります。したがって上記の特権昇格関連の脆弱性との連携により、影響を受けたシステムは大きな危険にさらされることになるでしょう。なお、管理者権限でログオンされている場合、権限昇格を経て攻撃する必要もなくなります。この点も、管理者権限で通常業務を行うべきではない理由の1つとなっています。
CVE-2023-21529 - Microsoft Exchange Serverリモートコード実行の脆弱性
今月は、Exchangeにおけるリモートコード実行(RCE)関連の脆弱性複数へ修正対応が施され、特にZDIのPiotr Bazydło氏が報告した脆弱性は、昨年秋にExchangeへ実施された不完全な修正対応に起因している点で特筆すべきでしょう。この脆弱性が悪用される場合、攻撃者側も認証取得が必要ですが、Exchange PowerShellバックエンドにアクセスできるユーザであれば、誰でもExchangeサーバを乗っ取ることが可能となります。Exchangeへの修正パッチ適用は骨の折れる作業で、通常、週末のダウンタイムが必要となります。それでも悪用の危険性を考慮した場合、これらのアップデートは優先的に遂行されるべきものといえます。
その他の脆弱性
その他、「緊急」に分類された脆弱性対応の中には、Protected Extensible Authentication Protocol(PEAP)におけるCVSS 9.8の脆弱性3件が挙げられます。ただしこのプロトコルは現在あまり使用されていないようです。その意味でより懸念されるものは、iSCSI Discovery ServiceにおけるCVSS 9.8の脆弱性でしょう。また、ストレージエリアネットワーク(SAN)を使用しているデータセンターは、自社のSANがリモートコード実行(RCE)関連脆弱性の影響を受けているかどうか該当のベンダーに必ず確認しておく必要があります。その他、SQL関連脆弱性の場合は、悪用に際しては、誰かがODBCを介して不正なSQLサーバに接続する必要があり、その意味では悪用の可能性はやや低いとはいえます。それでも安全のためには、今回公表された情報をよく読み、ご使用のSQLサーバのリリースに合った修正プログラムを入手の上、適用しておく必要があります。最後に「緊急」に分類された .NETおよびVisual Studioにおける脆弱性では、3件の修正対応が実施されています。これらは「open-and-own(開かせて乗っ取る)」タイプの脆弱性のようですが、詳細情報は提供されていません。
その他のリモートコード実行関連の脆弱性では、前述のExchangeへの修正対応が特筆すべきでしょう。また今月は、Print Spoolerの脆弱性への修正対応は実施されていませんが、PostScript Printer Driverで2件の脆弱性が報告されており、悪用されると、認証を取得した攻撃者により、プリンタを共有しているシステムが乗っ取られる可能性があります。また今回、SQL Serverでは、かなりの数の修正対応が実施されています。ただしこれらの脆弱性は、悪用に際して、感染システムが不正なSQL Server(通常はODBCを通じて)に接続されている必要があり、その可能性は低いといえます。むしろそれよりも、件数の多さから、SQL Serverのさまざまなバージョンですべての攻撃シナリオが想定できないことの方が心配です。また、ZDIのMat Powell氏からの報告では、3D Builderで2件、Print 3Dで1件の脆弱性対応が挙げられます。これらに関しては、Microsoft Storeからの修正対応が必要であり、該当のアプリが自動的にアップデートされない場合は、こちらのガイダンスに従ってください。その他、MSHTMLプラットフォームにおける脆弱性も、ZDIプログラムを通じて報告されたものです。この脆弱性は、スクリプトタグを含む特定の画像ファイル処理に関連しています。この脆弱性が悪用されると、限られた状況下で画像内のデータに細工することで、信頼されていないスクリプトを実行させることができます。Windows Mediaの脆弱性は、ZDIのHossein Lotfi氏によって報告されたものです。この脆弱性は、色変換の処理に関連しており、ユーザ提供のデータを適切に検証しないことで生じる不具合であり、悪用されると、メモリへの書き込み前に整数のアンダーフローが発生する可能性があります。
Azure Data Box Gatewayの脆弱性では、悪用に際して高い権限の取得が必要です。他方、Azure DevOps Serverの脆弱性はその限りではありません。後者の場合、攻撃者がパイプラインへのRunアクセス権さえ保持していれば、悪用可能となります。ただし、すべてのパイプラインに脆弱性が存在しているわけではないようです。残念ながら、Microsoft社は、影響を受けるパイプラインと受けないパイプラインを区別する方法についての情報を提供していません。その他、Dynamicsの脆弱性も特筆すべきでしょう。この脆弱性は、悪用に際して攻撃者側の認証取得が必要となるものの、認証されれば、Resourcesディレクトリにある標的側のローカルファイルを呼び出し、Dynamicsアプリケーションの外にあるWindowsコマンドの実行が可能となります。その他にもRCE関連の脆弱性が多数報告されています。その中には「Faxサービスがまだ存在する」ということを思い出させてくれる脆弱性もありました。その他のRCE関連の脆弱性としては、Edge(Chromiumベース)のものが今月唯一、深刻度「中」に分類されたものでした。
今月、特権昇格(EoP)関連では複数の修正対応が提供され、その大半は、攻撃者がターゲット上でコードを実行した上で、特権昇格させる手順を踏むものとなっています。その他に特筆すべき脆弱性としては、まず、Azure App Serviceの脆弱性への修正対応が挙げられます。このサービスの場合、脆弱性悪用には攻撃側の認証取得が必要ですが、認証されると、攻撃者は、他のテナントのアプリケーションやコンテンツとやり取りする能力を得ることが可能となります。また、SharePointの脆弱性では、修正パッチ2件がリリースされており、設定によっていずれかの修正パッチを適用することになります。Defender for IoTの脆弱性対応では、管理コンソールから新バージョンのソフトウェアをインストールする必要があります。
セキュリティ機能バイパス(SFB)関連の脆弱性では、悪用事例が確認されているものの他、Defender for Endpointの脆弱性も特筆すべきでしょう。この脆弱性の悪用では、不正なファイルが開封されることで、Attack Surface Reductionのブロック機能がバイパスされます。
情報漏えい関連の脆弱性では、1件を除き、すべて不特定のメモリ内容からなる情報漏えいとなっています。例外の1件は、Azure Machine Learning Computeの脆弱性です。この脆弱性が悪用されると、エラーログから平文パスワードの復元が可能となり、忌むべき手口とも見なされています。なお、この脆弱性は、トレンドマイクロのリサーチ部門「Project Nebula」のNitesh Surana氏によって報告されました。
サービス拒否(DoS)攻撃関連の脆弱性では、10件の修正対応が報告されています。ただしこれらのほとんどについて詳細情報が提供されていないため、悪用に成功するとサービスが停止するのか、システムがクラッシュするのか等ははっきりしていません。Visual Studioでの修正対応でDoS攻撃に関する情報が少し言及されています。それによると、認証を取得した攻撃者が脆弱性を悪用することで、Visual Studioのインストーラ実行時に特定のファイルから別のファイルへの置換が可能となるようです。
なりすまし関連の脆弱性では、Power BIのものが「重要」に分類されており、悪用されると、レポートファイルの内容変更や、JavaScriptの実行が可能となります。OneNoteに存在するなりすまし関連の脆弱性については、あまり情報がありませんが、OneNoteのバージョンによっては、MicrosoftまたはGoogle Playストアにアクセスしてアップデートを行う必要がありますのでご注意ください。
Dynamics 365およびAzure DevOpsでは、クロスサイトスクリプティング(XSS)関連の脆弱性が6件報告されています。
今月、新たなアドバイザリは発表されませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは、3月14日となります。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。合わせてご参照ください。今回は、Pwn2Own Miamiから直接リリースに関する質問にお答えします。それでは次回まで今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年2月発表の全リスト
2023年2月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE FEBRUARY 2023 SECURITY UPDATE OVERVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)