エクスプロイト&脆弱性
2023年6月 セキュリティアップデート解説:Adobe社は18件、Microsoft社は94件の脆弱性に対応
2023年6月第二火曜日となり、Adobe社およびMicrosoft社から最新のセキュリティパッチがリリースされました。この記事では最新のアドバイザリーを解説します。ウェブキャスト「Patch Report Webcast」(英語)でもアドバイザリーを解説していますのでご視聴ください。
2023年6月Adobe社からのセキュリティアップデート
2023年6月、Adobe社は、Adobe Commerce、Substance 3D Designer、Adobe Animate、Experience Managerの脆弱性18件を対象とした4件の修正パッチをリリースしました。Substance 3D Designerの脆弱性はZDIのリサーチャーMat Powell氏よって報告されました。この脆弱性が悪用されると、特別に細工されたファイルの開封時に任意のコードが実行される可能性があります。この月で最も大規模な対応は、Commerceの脆弱性に対するもので、合計12件の修正となっています。これらの大部分は重要あるいは中程度の深刻度に分類されたセキュリティ機能バイパス(SFB)の脆弱性ですが、単独で「緊急」に分類されたコード実行に関する脆弱性も存在します。Adobe Animateの脆弱性への修正も単独のコード実行に対するものでした。Experience Managerへの修正パッチは、4件の脆弱性に対処するものですが、「緊急」には分類されていません。「重要」に分類されたクロスサイトスクリプティング(XSS)関連の脆弱性も3件が修正され、さらにSFB関連の脆弱性1件も修正されています。
今月Adobe社が修正した脆弱性の中には、リリース時点で公に知られているものやアクティブな攻撃に悪用されていたものはありませんでした。Adobe社は、これらのアップデートをデプロイメントの優先度3として分類しています。
2023年6月Microsoft社からのセキュリティアップデート
2023年6月、Microsoft社は、Microsoft Windows・Windowsコンポーネント、Office・Officeコンポーネント、Exchange Server、Microsoft Edge(Chromiumベース)、SharePoint Server、.NET・Visual Studio、Microsoft Teams、Azure DevOps、Microsoft Dynamics、Remote Desktop ClientにおけるCVEへの対応として、69件の新しい修正パッチをリリースしました。Security Updates Guideで現在文書化されているサードパーティから以前にリリースされた25件の脆弱性対応含めると、合計で94件となります。
これらの脆弱性の中には、ZDIプログラムを通じて提出されたものが5件、さらにPwn2Ownバンクーバーのコンテストで提出された脆弱性の一部の修正も含まれています。これらの修正により、SharePointとローカル権限昇格が対処されます。なお、同コンテストで示されたTeamsの脆弱性に対する修正はまだリリースされていません。
今回リリースされた新しい修正パッチの中で、6件が「緊急」、62件が「重要」、1件が「警告」に分類されています。これらの件数は、例年6月よりわずかに多い数となっています。7月は、「Black Hat USA」カンファレンス前の最後のパッチチューズデーであるため、通常よりも多い月になる傾向があるかもしれません。この傾向が今後も続くかどうかは注目されます。
今回リリースされた脆弱性の中で周知されている、またはリリース時点で攻撃に悪用されていると記載されているものはありません。以下、今月の更新の中で特に注目すべきいくつかについて、Exchange Server関連など馴染みのある脆弱性から詳しく見ていきましょう。
主要な脆弱性
CVE-2023-32031 - Microsoft Exchange Server リモートコード実行の脆弱性
この脆弱性は、ZDIリサーチャーPiotr Bazydło氏によって報告され、CVE-2022-41082およびCVE-2023-21529の両方をバイパスします。つまりこれらの脆弱性を解決するための修正対策が、今回の新脆弱性悪用により無力化されます。なお、前者の脆弱性は積極的に悪用されていたとしてリストされていました。この脆弱性はCommandクラス内に存在し、ユーザから提供されたデータの適切な検証不備から生じて、信頼できないデータの逆シリアル化を引き起こす可能性があります。この悪用では、攻撃者がExchangeサーバにアカウントを持つことが必要ですが、悪用が成功すればSYSTEM権限でコードを実行することが可能になります。
CVE-2023-29357 - Microsoft SharePoint Server 特権昇格の脆弱性
この脆弱性は、2023年3月に開催されたPwn2Own バンクーバーのコンテストで複数の悪用事例として紹介され、ValidateTokenIssuerメソッド内の欠陥を利用した認証バイパスの悪用手法が示されました。Microsoft社は、この脆弱性を軽減するためにマルウェア対策スキャンインタフェース(AMSI)機能を有効にすることを推奨していますが、この措置の有効性はまだテストされていません。可能な限り早く更新をテストし、修正プログラムを適用することが最善策と言えます。
CVE-2023-29363/32014/32015 - Windows Pragmatic General Multicast (PGM) リモートコード実行の脆弱性
これらの3件の脆弱性は文書上では同一ものとして、すべて深刻度CVSS 9.8で列挙されています。これらの脆弱性が悪用されると、リモートの認証されていない攻撃者が、Pragmatic General Multicast (PGM) サーバ環境において、メッセージキューイングサービスが稼働しているシステムでのコード実行が可能となります。これは、PGMが深刻度CVSS 9.8の脆弱性に対処するものとしては3ヶ月連続となり、懸案となってきています。このサービスはデフォルトでは有効になっていませんが、PGMは珍しい設定ではなく、これらの脆弱性が活発に悪用され始める前に修正対応しておくべきでしょう。
CVE-2023-3079 - Chromium: CVE-2023-3079 V8におけるType Confusion
この脆弱性は、2023年6月1日にChromeのチームによって修正対応され、誰もが知っているはずです。しかし、現在も攻撃に悪用されていると記載されているため、卒業式、休暇、その他の理由でこのニュースを見逃していた方々へ再度周知しておきます。この脆弱性は、Chrome内のType Confusionに存在しており、ログオンしたユーザによってリモートコード実行が可能になります。また、攻撃に悪用されているChrome内Type Confusionの脆弱性としては今年2件目となります。こうした点からも、必ずChromiumベースのブラウザ(Edgeを含む)を最新化した状態に保っておいてください。
その他の脆弱性
今月のその他の脆弱性としては「緊急」に分類された2件の修正対応があげられます。最初の脆弱性は、サポート対象全バージョンの.NET、.NET Framework、Visual Studioに存在しています。これは「オープンアンドオウン」というタイプの脆弱性悪用で、「緊急」である理由としてはファイル開封時に警告ダイアログが表示されないからのようです。もう1件の「緊急」に分類された修正対応では、Hyper-Vサーバのサービス拒否攻撃(DoS)に悪用される脆弱性への対処です。この場合、ゲストOSがホストOSをシャットダウンする可能性があるか、少なくとも何らかの形でDoSの状態を引き起こす可能性があることから「緊急」となっているようです。
今月修正されたリモートコード実行の他の脆弱性では、Officeコンポーネントとサービスにおける標準的な「オープンアンドオウン」関連の脆弱性があげられます。また、.NET、.NET Framework、Visual Studioにもリモートコード実行の脆弱性があげられます。これらの中には、CVSSスコアが8.1という中程度の脆弱性も含まれています。細工されたXML開封時に警告ダイアログが表示される可能性がある中、明示的では無いため、深刻度が下がっていると言えます。Exchangeの脆弱性では、ネットワーク隣接の認証済み攻撃者がPowerShellリモートセッションを通じてリモートコード実行が可能となります。こういった物理的な要素を持つリモートコード実行の脆弱性は稀ですが、Windows Resilient File System(ReFS)の脆弱性ではそのような状況が発生します。攻撃者は、特別に作成されたVHDをマウントするか、不正なUSBドライブを挿入することでリモートコード実行が可能となります。RDPクライアントの脆弱性への修正対応もありますが、悪用のためには、不正なRDPサーバに接続する必要があるため、それほど懸念されていません。攻撃者がSQLサーバに接続する必要がある他の脆弱性2件も同様です。リモートコード実行関連の最後の脆弱性は、旧来から対処が求められているPostScriptプリンタのドライバに存在しています。この場合も、悪用に際しては影響を受けるシステムで特別に作成されたファイルを開く必要があり、これによりリモートコード実行が可能となります。
今月修正対応された特権昇格(EoP)の脆弱性では、その大部分は、悪用に際して攻撃者が特別に作成したプログラムを対象のシステム上で実行する必要があります。ほとんどの場合、これにより、システムレベルでのリモートコード実行が可能となります。.NETおよびVisual Studioに存在する特権昇格の脆弱性では、悪用されることで、ファイルシステムのレイアウトを理解したり、アプリケーションを実行しているユーザの権限を得たりといった異なる攻撃シナリオを引き起こします。Edgeに存在し、「警告」に分類された特権昇格の脆弱性は、悪用されると、ブラウザのサンドボックスを脱出させる可能性があります。
6月のリリースでは、セキュリティ機能バイパス(SFB)関連の脆弱性が4件挙げられており、そのうちの2件はRPC手順のチェックをバイパスするものです。これにより、SMBサーバに呼び出しを行う際に通常は制限されるべきRCE手順の実行が可能となるかもしれません。RDP関連の脆弱性では、悪用に際して特別に作成されたファイルを開く必要がありますが、攻撃者がその行動をユーザに遂行させることができれば、リモートデスクトッププロトコルのセッションを確立する際の証明書や秘密鍵認証をバイパスすることが可能となります。もう1件のセキュリティ機能バイパスの脆弱性は、Edgeに存在する「注意」に分類されたもので、悪用されると、攻撃者がURLをクリックする際に権限ダイアログ機能をバイパスすることが可能となります。
今月は、例外的に多くのなりすまし関連の脆弱性への修正パッチがリリースされています。Azure DevOps Serverには、悪用されると、現在のユーザレベルで利用可能なデータが取得される可能性があります。攻撃者はウェブサイトのDOMモデルを操作して追加/削除を施すことで、特別に作成作されたスクリプトによって、ユーザの許可や認識なしに現在のユーザのコンテキストでADO上での行動が可能となります。SharePointに存在する脆弱性については詳細が提供されていませんが、SharePointでのなりすましは、一般的にクロスサイトスクリプティング(XSS)を意味します。Power Appsコンポーネントに存在する脆弱性では、悪用されると、攻撃者が脆弱なURLに関連したターゲットのブラウザ内の閲覧が許可され、情報開示の活動が可能となります。その他のなりすましの脆弱性については、悪用に際してユーザの操作が必要であるとの記載以外は詳細が提供されていません。
情報漏えい関連の脆弱性は、今月は5件にとどまっています。いつものようにその大部分は、悪用されると、特定されていないメモリ内容の情報漏えいを引き起こします。例外的な脆弱性は、EdgeおよびDHCPサービスに関するものです。DHCPサーバの脆弱性は、悪用されると、攻撃者が対象となるシステムのIPアドレスプール情報取得を許可してしまう可能性があります。Edgeの脆弱性は、悪用されると、不正なURLをフォローすることで、ID、トークン、Nonce(一度だけ使用されるトークン)、その他の機密情報が漏えいされる可能性があります。最近のブラウザの利用範囲を考慮すると、これらの情報は攻撃者にとって非常に有用である可能性があります。
今月、DoS攻撃関連の脆弱性では、その大部分で詳細が記載されていません。悪用された場合、コンポーネントのみに影響を及ぼすのか、システム全体に影響を及ぼすのかは明らかではありません。CryptoAPIサービスに存在する脆弱では、認証動作に影響を及ぼす可能性があるようでが、これはコンポーネントに基づく推測に過ぎません。Microsoft社は、SharePointの脆弱性においてアプリケーションをクラッシュさせるとだけ明記しています。Sysinternals Process Monitorの脆弱性も、アプリケーションをクラッシュさせるだけと思われます。この修正対応のためには、Microsoft Storeにアクセスする必要があります。更新を有効にしていれば、自動的に修正内容が取得されるはずです。しかし、接続が切れているか、他の方法で孤立した環境にいる場合、SysinternalsのMSIXパッケージを手動で入手する必要があります。
今月のリリースの最後は、Microsoft Dynamics 365の単一のXSS関連に対する修正対応で締めくくられています。
今月、新しいアドバイザリーはリリースされませんでした。
次回のセキュリティアップデート
次回のパッチチューズデーは、7月11日となります。また、ZDIではその月のリリースを素早く振り返るウェブキャスト(英語)を今月も実施します。ぜひご視聴ください。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2023年6月発表の全リスト
2023年6月にMicrosoft社が発表したCVEの全リストはこちらをご参照ください。
参考記事:
THE JUNE 2023 SECURITY UPDATE REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)