エクスプロイト&脆弱性
2023年5月 セキュリティアップデート解説:Adobe社は14件、Microsoft社は49件の脆弱性に対応
2023年5月の第2火曜日がやってきました。Adobe社とMicrosoft社は定期的なセキュリティ更新の一環として今月のセキュリティアップデートをリリースしました。それでは今回も最新の提供内容を詳しく見ていきましょう。
2023年5月の第2火曜日がやってきました。Adobe社とMicrosoft社は定期的なセキュリティ更新の一環として今月のセキュリティアップデートをリリースしました。それでは今回も最新の提供内容を詳しく見ていきましょう。動画の解説はウェブキャスト「Patch Report Webcast」(英語)をご視聴ください。
2023年5月Adobe社からのセキュリティアップデート
2023年5月、Adobe社では、Substance 3D Painterに関して「緊急」に分類される脆弱性11件、「重要」に分類される脆弱性3件への修正対応がリリースされました。これらの脆弱性はすべて、ZDIのリサーチャーMat Powell氏によって発見・報告されました。これらの中で最も深刻な脆弱性では、ユーザが攻撃者によって細工されたファイルを開いた場合、影響を受けたシステム上で任意のコードが実行される可能性があります。
今月Adobe社が修正対応した脆弱性のうち、公表時点で周知されているものや、攻撃に悪用されていたものはありませんでした。Adobe社は、今回の更新対応を優先度3に分類しています。
2023年5月Microsoft社からのセキュリティアップデート
2023年3月、Microsoft社は、Microsoft WindowsおよびWindowsコンポーネント、OfficeおよびOfficeコンポーネント、Microsoft Edge(Chromiumベース)、SharePoint Server、Visual Studio、SysInternals、Microsoft Teamsに関連する脆弱性に対処する新しい修正パッチ38件をリリースしました。Edge向けに以前からリリースされており、セキュリティ更新ガイドにも既に記載されているChromium関連の脆弱性対応11件も追加されて、今月は合計49件となります。
これらの脆弱性のうち4件は、ZDIを通じて報告されました。ここには、先日開催されたハッキングコンテストPwn2Ownバンクーバーで報告されたSharePointへの修正対応3件も含まれます。なお、同イベントで報告されたその他の脆弱性は、まだMicrosoft社では未対応となっています。
今回リリースされた新しい修正パッチのうち、7件が「緊急」、31件が「重要」に分類されています。過去の傾向からすると5月は修正対応件数が少ない月ですが、そうした中でも今月は2021年8月以来で最も少ない件数となりました。ただし、パッチのリリースを待っているZDIの対応件数を鑑みると、今後数か月で増加することも予想されます。
主要な脆弱性
今回新たに確認された脆弱性のうち、リリース時に攻撃で悪用されていたものが1件、周知されていたものが2件となっています。以下、今回の主要な脆弱性について、攻撃で悪用されたものから詳しく見ていきましょう。
CVE-2023-29336 – Win32k特権昇格の脆弱性
これは今回のリリース時に悪用が確認された唯一の脆弱性です。Microsoft関連のこのタイプの脆弱性で攻撃の悪用事例がなかった月としては2022年5月まで遡る必要があります。今回の特権昇格の脆弱性も、通常、コード実行の脆弱性と組み合わせてマルウェアの拡散のために悪用されます。この脆弱性がセキュリティ企業から報告された点からも、こうした攻撃シナリオの懸念は妥当といえるでしょう。Microsoft社からの報告では、これらの悪用事例がどの程度の規模であるかの情報は提供されていません。
CVE-2023-29325 – Windows OLE リモートコード実行の脆弱性
記述にはOLEとありますが、特に注意すべきコンポーネントはOutlookです。この脆弱性が悪用されると、攻撃者は細工したRTFメールを送信することで、影響を受けたシステム上でのリモートコード実行が可能となります。プレビューペインが攻撃経路となるため、作成されたメッセージを開封しなくても被害を受ける可能性があります。Outlookが可能性の高い攻撃経路である一方で、他のOfficeアプリケーションも影響を受けます。今回の脆弱性は、広く周知されたものの1つであり、Twitterでも議論が展開されています。Microsoft社からは、いくつかの回避策が提供されていますが、今回の更新を速やかにテストして適用することを推奨します。
CVE-2023-24941 – Windowsネットワークファイルシステムリモートコード実行の脆弱性
この脆弱性はCVSS 9.8に分類されており、悪用されると、未認証の攻撃者がリモートで特権を駆使し、影響を受けたシステム上で任意のコード実行が可能となります。この悪用では、ユーザ側の操作は必要ありません。この脆弱性に関して興味深い点は、NFSバージョン4.1に存在するものの、NFS 2.0、3.0のバージョンには存在しないことです。このため、以前のバージョンにダウングレードすることでこの脆弱性悪用のリスクを軽減できますが、Microsoft社は、2022年5月のCVE-2022-26937への修正パッチがインストールされていない限り、この軽減策を使用しないようにと警告しています。したがって、今回の更新を速やかにテストして適用することを推奨します。
CVE-2023-24955 – Microsoft SharePoint Server リモートコード実行の脆弱性
この脆弱性は、Pwn2OwnバンクーバーにおいてSTAR Labsチームによって実演され、ターゲットにしたサーバ上でコード実行を行うために使用された攻撃フローの一部でした。この脆弱性の悪用では、認証が必要となりますが、同イベントでは、認証回避との組み合わせにより実演されました。この悪用手法は、現実の攻撃シナリオでも起こり得ることだといえます。なお、SharePointへの対応では、今月リリースされる他の修正パッチもありますが、公表された悪用のリスクに完全に対処するには、さらに追加の修正パッチが必要になります。今後数か月で、Pwn2Ownで示されたこれらの脆弱性への修正対応がリリースされることを期待しましょう。
その他の脆弱性
「緊急」に分類された他の修正対応では、先月対応されたPGM(Pragmatic General Multicast)の脆弱性ともよく似たCVSS 9.8の脆弱性が挙げられます。このことは、修正パッチが不十分であったか、またはより高い可能性としては、PGMのアタックサーフェスの拡大を示唆しているともいえます。LDAPおよびSSTPプロトコルでも「緊急」に分類された脆弱性が確認されました。また、MSHTMLで確認された脆弱性は、悪用されると、リモートの攻撃者が自身を管理者権限に昇格させる可能性があります。Microsoft社は、この点に関して詳細を提供していませんが、悪用に際してある程度の権限が必要であることに言及しています。そのまま解釈すると、脆弱性が悪用されると、認証済みのユーザがサイトにアクセスして管理者権限を取得できるというように読めます。
今月修正対応されたその他のリモートコード実行関連の脆弱性では、Office製品の標準的なオープン・アンド・オウンバグが挙げられます。AV1 Video Extensionsでも修正対応が複数示されていますが、これらの拡張機能は、デフォルトではインストールされていないものです。これらの更新プログラムは、Windowsストアから入手可能であるため、インターネットから切断された環境の場合は、手動でこれらの修正を適用する必要があります。そのほか、RDPに存在するリモートコード実行の脆弱性も懸念されます。ただしこの脆弱性は、クライアント側のものであり、サーバ側ではないため、深刻度は少し低くなります。Bluetooth関連の脆弱性の場合は、悪用に際して攻撃者が物理的に近くにいる必要があります。その他のリモートコード実行の修正対応としては、NuGetパッケージマネージャークライアントの脆弱性が挙げられます。Microsoft社は、この脆弱性の悪用に関する攻撃シナリオの詳細を提供していませんが、悪用に際しては、クライアント側で特別に作成された.NETプロジェクトへ接続する必要があるようです。
上述の脆弱性2件に加えて、今月修正対応された特権昇格の脆弱性は、他に8件が挙げられます。これらのほとんどは、悪用されると、細工されたコードを認証済みのユーザが実行することで、システムレベルでのリモートコード実行も可能になります。Bluetoothのリモートコード実行と同様に、Bluetoothの特権昇格でも、攻撃者が近くにいることが必要となります。Windowsインストーラの脆弱性は、悪用されると、攻撃者によるシステム権限への昇格ではなく、対象となるファイルの削除だけが実行されるようです。
セキュリティ機能のバイパスに関しては、4件の脆弱性が修正対応されています。この中には、すでに良く知られたSecure Boot機能の回避も含まれています。通常、Microsoft社は、脆弱性が公に周知されているかの情報は提供しませんが、今回の更新では、構成ガイダンスなどの追加情報が提供されています。Wordに存在するセキュリティ機能バイパス関連の脆弱性では、悪用されると、攻撃者がOfficeの保護ビューを回避できるようになります。Edgeの脆弱性への修正は、iFrameサンドボックスの脱出を可能にする悪用に対処しますが、完全なブラウザサンドボックスの脱出は許可されないようです。ドライバの失効リスト関連の脆弱性では、攻撃者が変更することで失効リスト機能をバイパスするため、リストの完全性に影響が及ぶことになります。
情報漏えい関連の脆弱性では、8件の修正対応が実施され、同様にPwn2Ownで公開されたSharePointの脆弱性も含まれていました。この脆弱性は、上述のSharePointにおける悪用フローの別の一部となっています。その他の情報漏えい関連の脆弱性は、ほとんどが特定できないメモリ内容に関連するものとなっていました。ただし、いくつかの例外もあります。例えば、RDPクライアントに存在する情報漏えいの脆弱性は、悪用されると、TLSで保護されたデータからプレーンテキストで情報を窃取することが可能となります。Teamsに存在する脆弱性では、悪用されると、ユーザの完全な信頼トークンを含むさまざまな機密情報を攻撃者が開示できる可能性があります。明確に記載されてはいないものの、このトークンは、ユーザへなりすますために再利用される可能性もあります。その他、Visual Studioの脆弱性も挙げられます。この脆弱性が悪用されると、攻撃者は、NTLMハッシュを開示することが可能になります。これらのハッシュも、他のユーザになりすますために利用される可能性があります。
サービス拒否関連の脆弱性は、5件の修正対応が実施され、そのうちの4件はほとんど目立たないものであり、最後の5件目の脆弱性は、Windows Server 2022のホットパッチバージョンのみに影響を与えるものでした。この場合、SMB上のQUICも影響を受けます。QUICはSMBにおけるVPNのような機能を果たします。Accessへのサービス拒否関連の脆弱性を除き、これらの脆弱性は、いずれも、悪用によってどれがシステムのブルースクリーンを引き起こすか、単にサービス操作を中断するかといった詳細は不明です。Accessの脆弱性は、悪用された場合、データベースの接続性に影響を与えるものの、サービスが完全に拒否されてしまうわけではないようです。
なりすまし関連の脆弱性としては、SharePointに修正適用されたものが挙げられます。この脆弱性は、匿名のリサーチャーによってZDIを通じて報告されました。悪用されると、認証された攻撃者がサーバに対してNTLMハッシュを漏えいさせるように仕向けることができます。通常、SharePointサイト上ではすべてのユーザに認証権限が必要となっています。
今月は新しいアドバイザリはリリースされませんでしたが、修正パッチの再リリースが特筆されます。CVE-2022-26928への対応が、Microsoft Windowsのすべての影響を受けるバージョンにセキュリティ更新を追加するために再リリースされました。Microsoft社は、こうした新たな更新について、脆弱性に「完全に対処する」ために必要であるとしており、これはつまり、前回の修正が不完全だったことを意味しているようです。今回の更新も必ずシステムに適用してください。
次回のセキュリティアップデート
次回のパッチチューズデーは、6月13日となります。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。ぜひご視聴ください。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年5月発表の全リスト
2023年5月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE MAY 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)