エクスプロイト&脆弱性
2024年4月 セキュリティアップデート解説:Microsoft社は155件、Adobe社は24件の脆弱性に対応
今月の第2火曜日となり、Adobe社とMicrosoft社から最新のセキュリティアップデートがリリースされました。最新のアドバイザリーの詳細を確認しましょう。リリース全体の概要を説明した動画(英語)もご視聴ください。
今月の第2火曜日となり、Adobe社とMicrosoft社から最新のセキュリティアップデートがリリースされました。最新のアドバイザリーの詳細を確認しましょう。リリース全体の概要を説明した動画(英語)は、こちらからご視聴ください。
2024年4月Adobe社からのセキュリティアップデート
2024年4月のAdobe社は、Adobe After Effects、Photoshop、Commerce、InDesign、Experience Manager、Media Encoder、Bridge、Illustrator、およびAdobe Animateにおける脆弱性24件に対処する9件の修正パッチをリリースしました。これらのアップデートの中で最大のものはExperience Manager向けの対応ですが、ここでの修正パッチ適用はすべてシンプルなクロスサイトスクリプティング(XSS)関連の脆弱性となっています。とはいえ、これらの重要度の高い脆弱性が悪用されれば、コード実行につながる可能性があります。複数の脆弱性に同時に対処する修正は、AnimateとCommerceへのものが該当します。Animate向けの修正パッチは4件の脆弱性に対処します。そのうちの2件は深刻に分類されており、悪用されると任意のコード実行につながる可能性があります。Commerce向けの修正パッチも、XSS関連が1件、不適切な入力検証関連が1件など、深刻な脆弱性2件への修正となっています。これらも悪用されると、コード実行につながる可能性があります。
境界外(OOB)読み取りの情報漏えい関連でも複数の脆弱性に対処されています。これらはすべて同じ人物によって報告されたものであり、これらの製品の間で共有されているコードに起因してすべてが脆弱になっているものと推測され、After Effects、Photoshop、InDesign、Bridge、Illustratorがこれらの脆弱性の対象となっています。Media Encoderへも修正対応のアップデートが実施されました。この修正対応は、コード実行につながる可能性のある単一のバッファオーバーフローの脆弱性に関連するものです。
今月同社が修正した脆弱性は、リリース時点で周知されているものや攻撃に悪用されているものはありません。同社は、今回の修正対応を展開優先度3に分類しています。
2024年4月Microsoft社からのセキュリティアップデート
2024年4月、Microsoft社は、Microsoft WindowsとWindows Components、OfficeとOffice Components、Azure、.NET FrameworkとVisual Studio、SQL Server、DNS Server、Windows Defender、BitLocker、およびWindows Secure Bootにおいて、147件に及ぶ脆弱性へのセキュリティアップデートをリリースしました。今月ドキュメント化されているサードパーティの脆弱性も含めると、合計で155件になります。これらの脆弱性のうち、ZDIプログラムを通じて報告されたものは3件でした。Pwn2Own Vancouverで公開された脆弱性は、今回のリリースでは修正対応されていません。
今回リリースされた新たな修正パッチのうち、深刻度が「緊急」に分類されているのは3件のみで、142件が「重要」、2件が「中」に分類されています。今回は2024年最大のリリース規模であり、2017年以降でも最大のものとなっています。筆者が確認した限り、Microsoft社のパッチチューズデーのリリースとしては最大規模といえます。これが、過去に溜まっていたものが一気に対応されたためか、実際に脆弱性報告の急増によるものなのかは明らかではありません。どちらの傾向であるかについては、今後の動向が興味深いところです。
今回対応された脆弱性のうち、現在攻撃を悪用されたり、リリース時点で周知されていると記載されているものはありません。しかし、ZDIのスレットハンターであるPeter Girnus氏が報告した脆弱性では、悪用事例も確認されています。ZDIでは、実際の悪用事例として証拠と合わせて提示しています。
以下、今回注目すべき修正対応のいくつかを詳しく見ていきましょう。まずは、悪用事例をZDIで確認した脆弱性から始めます。
CVE-2024-29988 - SmartScreen Promptにおけるセキュリティ機能バイパスの脆弱性
この脆弱性の状況は奇妙といえます。ZDIのスレットリサーチャーがこの脆弱性の悪用事例を確認したにかかわらず、Microsoft社は、現在これを悪用された脆弱性としては掲載していません。同社がこの点について明確な対応を示すまで、ZDIでは、悪用事例が確認された脆弱性として扱うことにします。脆弱性自体は、別の脆弱性CVE-2024-21412とよく似た動作をします。つまり、悪用されると、Mark of the Web(MotW)機能をバイパスし、標的のシステム上でのマルウェア実行が可能となります。この場合、攻撃者は、EDR/NDRの検出を回避するために、圧縮されたファイルで脆弱性悪用ツールを送信し、このツール(およびその他のツール)を使用してMotWをバイパスします。
CVE-2024-20678 - Remote Procedure Call Runtimeにおけるリモートコード実行の脆弱性
RPCの脆弱性悪用に関する事例は、いずれも過去にも長らく確認されてきた経緯があり、今回もコード実行につながる可能性のあるRPC関連の脆弱性として注目されます。この脆弱性は、悪用にあたり攻撃者側での認証が条件となりますが、特権昇格は必要ありません。認証されたユーザであれば誰でも攻撃可能です。ただし、ゲストまたは匿名ユーザが認証された場合に攻撃可能であるかは明らかではありません。簡単に検索調査した範囲によると、この脆弱性の悪用が可能なTCPポート135を持つシステムが約130万台インターネット上に存在しており、これらが悪用対象となることが懸念されます。
CVE-2024-20670 - Windows版Outlookにおけるなりすまし関連の脆弱性
この脆弱性は、なりすまし関連として記載されていますが、悪用された場合の最終的な被害を想定すると、情報漏えい関連の脆弱性とも考えられます。この場合、漏えいする情報はNTLMハッシュであり、攻撃者は、これを用いてターゲットユーザになりすますことが可能となります。いずれにしても、この脆弱性を引き起こすには、ユーザがメール内の何かをクリックするという介在が必要であり、プレビューペイン自体は攻撃経路とはなりません。なお、ここ数ヶ月、NTLMリレー関連の脆弱性が多発しています。Outlookの幅広いユーザ層を考えると、今後数ヶ月の間にこの脆弱性を悪用した攻撃が発生する可能性は高いといえます。
CVE-2024-26221 - Windows DNSサーバにおけるリモートコード実行関連の脆弱性
これは今月修正対応されたDNS RCE関連の脆弱性7件のうちの1件であり、いずれも同様の内容でドキュメント化されています。これらの脆弱性の悪用に際しては、攻撃者がDNSサーバを照会する権限を持っている場合、影響を受けるDNSサーバ上でのリモートコード実行が可能になります。DNSクエリのタイミングが正しければ、攻撃者は標的となるサーバ上で任意のコードを実行できます。詳細は具体的には述べられていませんが、この場合のコードの実行は、DNSサービスのレベル、つまり特権が昇格されたレベルで行われるのが論理的だと推測されます。DNSサーバがターゲットとなるため、想定される被害規模を真剣に受け止め、速やかに修正パッチのテストと展開を実行してください。
その他の脆弱性
その他、「緊急」に分類された脆弱性を確認すると、いずれもMicrosoft Defender for IoTに影響する脆弱性となっています。これらの脆弱性が悪用されると、ファイルアップロードの権限を持つ認証済みの攻撃者であれば、パストラバーサルの脆弱性を介して任意のコード実行を行うことが可能となります。この場合、攻撃者は特別に細工したファイルを対象となるシステムの特定箇所にアップロードする必要があるようです。悪用される可能性は明らかではありませんが、これらの脆弱性との関連が予測されるシステムについては速やかな対処が必要であるといえます。
合計すると、今回のリリースではリモートコード実行につながる可能性のある脆弱性対応の件数がほぼ70件となっていますが、ある程度の良いニュースとしては、そのうちの半分近くがSQLサーバのコンポーネントに影響を与える脆弱性だという点です。この場合、悪用に際しては、影響を受けるシステムを特別に細工されたSQLデータベースに接続し、クエリを実行する必要があるからです。ソーシャルエンジニアリングの手口で工夫すれば、リモートコード実行も可能ではありますが、そう簡単ではないでしょう。より現実的には、今回のリリースに含まれるDNSとDHCPにおけるリモートコード実行関連の脆弱性にこそ注意を払うべきでしょう。DNSの脆弱性については上述のとおりです。DHCPの脆弱性では、悪用される場合、攻撃者の特権昇格が必要となります。この脆弱性への対応としては、DHCPサーバを監査して、誰が特権を持っており、誰を削除すべきかを改めて確認するのに良い機会といえるでしょう。Azure Migrateにおける脆弱性では、悪用に際してネットワーク隣接が条件となるものの、この脆弱性に完全な対処を行うには、追加手順としてAzure Migrate Applianceの最新のAutoUpdaterが必要となります。これにより、ダウンロードセンターからダウンロードしたMSIインストーラが、インストール前にMicrosoft社から正当に署名されていることが保証されます。詳細はこちらをご確認ください。Excelへの修正対応では、 open-an-own 関連の脆弱性が修正されていますが、macOS向けのExcelについては、残念ながらAppleユーザ向けのアップデートはまだ提供されていないようです。
特権昇格関連も今回は多数の修正対応がなされています。ただし、そのほとんどは、悪用に際して攻撃者が影響を受けるシステムにログオンしてコードを実行することが条件となります。この場合、通常、コード実行によりSYSTEMへの特権昇格へつながることを意味します。ただしAzureにおける特権昇格の脆弱性は、若干異なっており、いくつかの追加手順が必要です。また、Azure Arc 対応のKubernetesにおける脆弱性では、悪用されると、攻撃者が Azure IoT Operations のシークレットや、Kubernetes クラスタ内に保存されている可能性のある他の認証情報やアクセストークンなどの機密情報にアクセスできる可能性があります。この場合も、対処するためには、ご使用の環境での拡張機能を更新し、Azure Arc エージェントも更新しておく追加手順が必要があります。Azure Content Gallery における脆弱性も、同様に追加手順が必要となります。この脆弱性の場合、Azure Compute Gallery(ACG)のイメージ作成権限要件の最新化によって脆弱性悪用のリスクが軽減されます。このようにご使用環境において権限を確認し、必要に応じて更新する必要があるということになります。権限の更新方法の詳細についてはこちらを参照してください。Azure Monitor Agentにおける特権昇格の脆弱性については、自動拡張アップグレードが有効になっていることを確認する必要があります。有効になっていない場合は、こちらの手順に従って手動で更新を取得できます。Azure Kubernetes Serviceにおける脆弱性の場合も、追加手順が必要となります。この場合、完全に対処するためには、"az confcom" と Kata Image の最新バージョンが実行されていることを確認する必要があります。"az conform" がインストールされていない場合は、"az extension add -n conform" コマンドを実行することで最新バージョンを取得できます。詳細については、この脆弱性のセキュリティ情報をご参照ください。
セキュリティ機能バイパス関連の脆弱性では、Secure Bootへの脆弱性対応に23件もの異なる修正パッチが必要であり、さらにそれだけでは十分ではなく、こちらも追加手順が必要となっています。修正パッチにより脆弱性への対応がなされますが、脆弱性悪用からの保護自体はデフォルトでは有効になっていません。この場合、ナレッジベース記事を確認し、そこに記載されている指示に従う必要があります。今回23件もの修正対応が発生し、なおかつそれらに対処するために手動の操作が必要であることを考えると、もはやセキュア(Secure)なブート(Boot)とは呼べないでしょう。その他のセキュリティ機能バイパス関連の脆弱性では、RSA 署名の検証をバイパスできるものや、BitLocker の脆弱性でSecure Bootをバイパスできるものがあります。なお、これらの場合は、修正パッチの対応だけであり、追加手順は必要ではありません。
情報漏えい関連の脆弱性は十数件が報告されています。幸い、ほとんどの場合、漏洩する情報は特定されないメモリの内容のみの脆弱性となっています。Azure AI Searchにおける脆弱性では、悪用されると、攻撃者が機密性の高いAPI キーを入手できる可能性があります。この脆弱性悪用のリスクは、最近のAzure AI Searchのバックエンドインフラストラクチャの更新によって軽減されていますが、追加手順としてAzure Service Healthのアラートを介して通知された特定の認証情報を手動で交換しておく必要があります。Azure Identity Library for .NETにおける脆弱性では、悪用されると、ID、トークン、ノンス(使い捨ての乱数や疑似乱数)、その他の機密情報など、ターゲットとなる Web サイト内のデータが漏えいする可能性があります。なお、この場合は、修正パッチ以外の追加手順は必要ありません。最後に、Windows DFSにおける脆弱性では、悪用されると、具体的な明記されていませんが、いわゆる一般的な「機密情報」が開示される可能性があるようです。
2024年4月のリリースは、いくつかのなりすまし関連およびDoS攻撃関連の脆弱性で締めくくられています。今回の公表内容ではあまり有用な情報が提供されていません。具体的な対処に注力する必要がある場合は、DHCP サービスの DoS攻撃関連の脆弱性対応から着手するのがよいでしょう。企業の場合、DHCPが短時間でも停止させてしまうと「大変な一日」になりかねないからです。
最後に、Microsoft社は ADV990001 を最新のサービススタックに更新しました。ぜひご確認ください。
次回のセキュリティアップデート
のパッチチューズデーは2024年5月14日になります。その時に詳細および修正パッチの分析をお伝えいたします。それでは次回まで、今回の更新プログラムを適用してシステムを最新化しておくことを推奨します。
Microsoft社2024年4月発表の全リスト
2024年4月にMicrosoft社が発表したCVEの全リストはこちらご参照ください。
参考記事:
THE APRIL 2024 SECURITY UPDATES REVIEW
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)