エクスプロイト&脆弱性
2023年4月 セキュリティアップデート解説:Adobe社は56件、Microsoft社は100件、さらにApple社からも2件の脆弱性に対応
月の第2火曜日は、Adobe、Microsoft、その他の企業に関連する最新のセキュリティパッチがリリースされます。今月のMicrosoftとAdobeの最新のセキュリティパッチの詳細を確認します。動画で視聴される場合は、ウェブキャスト「Patch Report」(英語)をご覧ください。
月の第2火曜日は、Adobe、Microsoft、その他の企業に関連する最新のセキュリティパッチがリリースされます。今月のMicrosoftとAdobeの最新のセキュリティパッチの詳細を確認します。動画で視聴される場合は、ウェブキャスト「Patch Report」(英語)をご覧ください。
2023年4月Adobe社からのセキュリティアップデート
2023年4月、Adobe社は、Acrobat・Reader、Adobe Digital Editions、InCopy、Substance 3D Designer、Substance 3D Stager、Adobe Dimensionにおいて、合計56件の脆弱性に対処する6件の修正情報をリリースしました。これらの脆弱性のうち47件は、ZDIのリサーチャーであるMat Powell氏とMichael DePlante氏によって報告されました。今回、最も注目されるのはReader向けのアップデートで、16件の異なる脆弱性に対処しており、そのうち14件の脆弱性は、特別に細工されたPDFが該当するバージョンのReaderで開封された場合、任意のコード実行につながる可能性があります。このアップデートには、先日バンクーバーで開催されたPwn2OwnのデモでHaboob SA社のAbdul-Aziz Hariri氏が示した4件の脆弱性も含まれています。
Adobe Digital EditionsとInCopyの修正パッチは、それぞれ1件の「緊急」コード実行の脆弱性に対応しています。他のアップデートには、大規模な修正が含まれています。Substance 3D Designerのアップデートには、9件の脆弱性が対象であり、すべてが「緊急」に分類されています。Substance 3D Stagerのアップデートには、14件の脆弱性が対象であり、そのうちの10件が「緊急」に分類され、任意のコード実行につながる可能性があります。Adobe社の最後のアップデートは、Adobe Dimensionに対するもので、15件の脆弱性の修正に対応しています。これらの脆弱性のうち14件は任意のコード実行につながる可能性があり、1件は情報漏えいに関するものです。
今月Adobe社が修正した脆弱性については、リリース時に公に知られていないものや攻撃に悪用されたものはありませんでした。同社は、今回のアップデートを優先度3として分類しています。
2023年4月Apple社からのセキュリティアップデート
先週と昨日、Apple社は現在の攻撃活動で悪用されている2つの脆弱性に対処するための修正パッチをリリースしました。脆弱性「CVE-2023-28205」は、WebKitの解放済みメモリ使用(UAF)に関連しており、Safari、macOS、およびiOSに存在します。この脆弱性が悪用されると、ログインしているユーザの権限でコード実行が可能となります。そのため、対象のシステムを乗っ取るためには、権限昇格の不正行為が必要となります。実際、2つ目の脆弱性「CVE-2023-28206」は、macOSおよびiOSのIOSurfaceAcceleratorコンポーネントにおける権限昇格に関するものです。同社はこれらが連携して使用されたことを明示的には言及していませんが、同時期に複数のリサーチャーから同じ報告がなされたため、この組み合わせによる攻撃が発生しても不思議ではありません。
2023年4月Microsoft社からのセキュリティアップデート
2023年4月、Microsoft社は、Microsoft Windows、Windowsコンポーネント、Office、Officeコンポーネント、Windows Defender、SharePoint Server、Windows Hyper-V、PostScriptプリンタ、Microsoft Dynamicsに存在する97件の脆弱性に対処する修正パッチをリリースしました。また、以前にリリースされたEdge(Chromiumベース)の3件の脆弱性も含めると、今月対処された脆弱性の総数は100件となります。これらのうち6件はZDIからの報告です。
今月リリースされた修正パッチでは、深刻度が「緊急」のものが7件、「重要」のものが90件となっていました。件数の規模としては過去数年と同様ですが、リモートコード実行(RCE)関連の脆弱性が全体のほぼ半分を占めている点が特筆されます。1ヶ月間にこれだけのRCEへの修正対応は珍しいことと言えます。なお、先日のバンクーバーで開催されたPwn2Ownで指摘された脆弱性のうち、今月対応されたものはありませんでした。
主要な脆弱性
今回指摘された脆弱性の1つは、公開された時点で既に攻撃に悪用されていたと報告されています。以下では、攻撃に悪用された脆弱性を始め、今月注目すべき主要な修正対応について見ていきましょう。
CVE-2023-28252 – Windows共通ログファイルシステムドライバの権限昇格の脆弱性
今月唯一攻撃での悪用が確認された脆弱性は、2ヶ月前の同年2月に類似のコンポーネントに存在したゼロデイ脆弱性への修正対応がなされた後、以前の修正が不十分だったために悪用された可能性があります。また、2月と同様、これらの攻撃がどれだけ広範囲に及んでいるかについての情報は提供されていません。このタイプの脆弱性悪用は、通常、マルウェアやランサムウェアを拡散するためのコード実行バグとペアになっています。この脆弱性については、修正パッチのテストを確実に実施した上で、迅速に適用することを推奨します。
CVE-2023-21554 - Microsoft Message Queuingリモートコード実行の脆弱性
この脆弱性は、最も深刻度が高く、CVSSスコアが9.8と評価されています。もし攻撃者がこの脆弱性を悪用した場合、Message Queuingサービスが有効化されたサーバにおいて、認証されていない攻撃者が特権を持った状態でリモートからコードを実行することができます。このサービスは通常、デフォルトでは無効化されていますが、多くのコンタクトセンターアプリケーションで使用されています。また、このサービスはデフォルトでTCPポート1801でリッスンしているため、外部からの攻撃を防ぐためにこのポートをブロックすることができます。ただし、この対処法がオペレーションにどのような影響を与えるかは明確ではありません。最善の対処法は、テストを実施した上で速やかに最新のセキュリティアップデートを適用することです。
CVE-2023-23384 – Microsoft SQL Serverのリモートコード実行の脆弱性
この脆弱性は、Microsoft社によって2月にリリースされたサイレントパッチで修正されましたが、今回改めて修正対応として文書化されました。サイレントパッチの問題については、こちらおよびこちらの記事をご参照ください。この修正対応では、SQLcmdツールの境界外(OOB)書き込みの不具合に対処し、リモートで認証されていない攻撃者が特権を保持してコードを悪用する可能性を解決します。CVSSのスコアは明示されていませんが、この脆弱性を悪用するためには時間をかけて少しずつしか制御できないため、攻撃の複雑性が高く、サーバのクラッシュが発生する可能性も高いと言えます。SQLサーバを実行している場合は、累積更新テーブルを確認して、2月および4月の更新プログラムがインストールされていることを確認してください。
CVE-2013-3900 - WinVerifyTrustシグネチャ検証の脆弱性
CVE番号の西暦が「2013」となっていますが、間違いではありません。この修正パッチは10年前にリリースされたものの再発行であり、最近の3CXを狙った攻撃で悪用された脆弱性です。以前は「オプトイン」による修正であり、IT管理者は、この修正を実施するためにオプトインする必要がありました。今回の再発行では、追加のプラットフォームの修正が実施され、企業向けのさらなる推奨事項が加筆されました。Microsoft Trusted Root Programの情報を含むすべての推奨事項を確認し、環境を保護するために必要な措置を取ることを強くお勧めします。
その他の脆弱性
その他で「緊急」に分類された脆弱性への修正パッチとしては、先に挙げたMicrosoft Message Queuingの脆弱性と類似するものとして、Pragmatic General Multicast(PGM)に存在する深刻度CVSS 9.8の脆弱性が挙げられます。ただし、この脆弱性もMicrosoft Message Queuingと同様、悪用される可能性が低い脆弱性に分類されています。また、DHCPサーバに存在する脆弱性については、当初ほど深刻ではない可能性があります。特定のDHCPサーバに対して特別に細工されたRPC呼び出しを送信する必要があり、このプロトコルはルーティングできず、セキュアであり、外部からの脆弱性悪用が可能ではないからです。さらに、レイヤー2トンネリングプロトコルとポイントツーポイントトンネリングプロトコルにも、いくつか「緊急」に分類される脆弱性が存在します。過去数か月間に多数の類似した脆弱性が修正されてきましたが、これらも実際の攻撃に悪用されたという報告はありません。最後に「緊急」に分類される脆弱性として、Raw Image Extensionに影響を与えるものがあります。この脆弱性は、悪用されると、特別に作成されたファイルを閲覧することでコード実行が許可される可能性があります。
その他、リモートコード実行関連では、PostScriptおよびPCL6 Class Pinterドライバの脆弱性11件が挙げられます。Microsoft社にとって、プリンターの脆弱性は今後もセキュリティ上の問題として続きそうです。DNSサーバには、すでに言及されたものを含め、8件の脆弱性に対応されています。ただしこれらの脆弱性では、悪用に際しては攻撃者が昇格された権限を保持する必要があるため、深刻度は低いと言えます。RPCランタイムに存在する脆弱性への修正対応も記載れていますが、説明は明確ではありません。CVSSの記載によると低い権限での許可が必要であるとされていますが、一方で未認証の攻撃者でもこの脆弱性を悪用されるとも説明されています。また、IKEプロトコルの脆弱性への修正対応もあります。この場合、脆弱性が悪用されるためには、IKEおよびAuthIP IPsecキーモジュールが実行されている必要があります。ただしこのサービスを無効にすると、IPSecの機能に悪影響が及ぶ可能性があるため、実行している場合は、サービスの無効化ではなく、修正パッチの適用をお勧めします。Network Load Balancer にもリモートコード実行の脆弱性が存在し、悪用されると、ネットワークに隣接する攻撃者からのアクセスが可能となります。影響を受けない新しいNetwork Load Balancer のサービスにアップグレードすることをお勧めします。Bluetoothコンポーネントの脆弱性に対処する修正パッチもあります。この場合、悪用に際して攻撃者は、ターゲットに近接している必要があります。その他の修正パッチは、珍しくWindowsカーネルに存在するリモートコード実行の脆弱性や、オープンアンドオウンの脆弱性への修正対応となっています。カーネル関連の脆弱性のほとんどは、特権昇格に関するものであるため、このコンポーネントでリモートコード実行の脆弱性が見つかったことは興味深いと言えます。
今回の特権昇格(EoP)脆弱性の数は、リモートコード実行(RCE)脆弱性数の約半分に過ぎず、ほとんどは認証済みユーザーの介在が必要な特別なコードを実行するために必要です。ただし、いくつかの例外もあります。KerberosおよびNetlogon RPCの脆弱性では、中間者攻撃(MiTM)を行う攻撃者による実行が可能となります。Kerberosの脆弱性を悪用すると、攻撃者はクライアントの暗号化方式をRC4-md4の暗号化方式にダウングレードさせることができます。これにより、攻撃者はユーザーのKerberosセッションキーを侵害し、特権昇格を行うことができます。同様に、MiTM攻撃者は、Netlogon RPCメッセージを傍受して、Netlogonプロトコルトラフィックを変更することで、自身の特権を昇格することができます。
今月、セキュリティ機能バイパス(SFB)に関連する脆弱性7件への修正対応が実施されました。これにより、SFB関連の脆弱性件数が増加傾向を示していることがわかります。Azure Service Connectorに存在する脆弱性では、悪用されると内部ファイアウォール制限をバイパスすることができます。Lock Screenには2件の異なる脆弱性が存在しており、悪用するには物理的なアクセスが必要ですが、どちらの脆弱性もバイパスされる可能性があります。Windows Boot Managerに存在する2件の脆弱性も同様です。また、グループポリシー関連の興味深い脆弱性もあります。この脆弱性が悪用されると、一定の状況下でIT管理者によるグループポリシー更新が不可能になる可能性があります。Windows Enroll Engineの脆弱性に対応するためには、アカウント登録プロセス中に証明書の検証をバイパスする可能性のある不具合が修正されます。Driver Revocation Listに存在する脆弱性では、その名称が示すように、攻撃者が撤回リストを変更し、通常禁止されているドライバを読み込むことが可能になります。
情報漏えいに関連する脆弱性のほとんどは、不特定のメモリ内容から情報が漏れ出ることを可能にするものであり、複数の脆弱性を組み合わせた攻撃に利用されることがありますが、それ自体が特筆すべきものとは言えません。ただし、唯一の例外はAzure Machine Learningコンポーネントに存在する脆弱性です。この脆弱性を悪用することで、攻撃者はシステムログを変更することはできませんが、読み取ることが可能になります。この脆弱性に対処するには、修正パッチではなく、Azure Machine Learning Computeのインスタンスをアップグレードする必要があります。
なりすましに関連する脆弱性対応は3件あります。1つ目は、SharePointの脆弱性に対処するもので、脆弱性リサーチャーのPiotr Bazydło氏が報告しています。この場合、サイト作成権限を持たない攻撃者でも、該当のSharePointサーバ上でNTLMリレーによる脆弱性悪用が可能となります。2つ目と3つ目は、Visual StudioおよびWindowsにおけるなりすましの脆弱性についてです。具体的な影響に関する情報は提示されていませんが、Microsoft社は、Windowsのなりすまし関連の脆弱性が悪用されるには、署名済のWindows Imaging Format(WIM)ファイルが表示するために、特別に細工されたHTMLアプリケーション(HTA)ファイルを開く必要があると説明しています。
サービス拒否攻撃(DoS)に関連する脆弱性に対処する場合、ほとんどの場合、Microsoft社から追加情報や文書が提供されていないようです。Windows Secure Channelに存在する脆弱性では、影響を受けるのはTLSバージョン1.3を実行しているデバイスに限られます。Network Address Translation(NAT)サービスに存在する脆弱性では、NATファイアウォール内部に侵入した攻撃者によるトラフィックでの悪用に限定されます。Microsoft Defenderに存在する脆弱性については、Malware Protection Engineが頻繁に更新されているため、すでにシステムに修正が適用されている可能性があります。ただし、孤立した環境で使用されているシステムの場合は、手動で修正を適用する必要があります。また、Microsoft社は「セキュリティ関連の機能を改善するため多層防御の更新が含まれている」と述べていますが、それらの変更内容は明記されていません。
最後に、Dynamics 365でクロスサイトスクリプティング(XSS)関連の脆弱性3件が確認されました。過去2ヶ月、毎回5件の脆弱性が確認されていましたが、今回は3件のみであり、記録更新とはなりませんでした。
なお、今月、新しいアドバイザリは発表されませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは、5月9日となります。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。ぜひご参照ください。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年4月発表の全リスト
2023年4月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE APRIL 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)