2024 年 7 月の Patch Tuesday に関する Akamai の見解
7 月に独立記念日を祝う国は数多くありますが、たくさんの CVE を公開することよりも相応しい祝い方はありません。2024 年 7 月の Patch Tuesday では 137 件の脆弱性にパッチが適用されました。その中には、 Microsoft Sharepoint Server、 Windows Remote Desktop Licensing Service および Windows Codecs Libraryの重大な脆弱性が 5 件あります。
また、 Windows Hyper-V の権限昇格(EOP)の脆弱性と Windows MSHTML プラットフォーム のスプーフィングの脆弱性が野放し状態で悪用されていることが報告されているほか、 Windows Themes の脆弱性(Akamai の研究者 Tomer Peled が発見)のパッチもあります。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-38080 — Windows Hyper-V(CVSS 7.8)
Windows Hyper-V は、Windows のネイティブハイパーバイザーです。単一のホストマシン上で仮想マシン(ゲスト)をホストすることができます。仮想化はハードウェアコストの削減を可能にするため、エンタープライズネットワークでは非常に一般的です。
Akamai の調査では、84% の環境に Hyper-V が有効になっているマシン(ホスト)がありました。
CVE-2024-38080 は、攻撃に成功した後に SYSTEM 権限を取得できるようにするローカル EOP の脆弱性です。この脆弱性がホストマシンとゲストマシンのどちらに存在し、どのように悪用されるのかは、まだ不明です。Microsoft は、この脆弱性が野放し状態で悪用されているのが検知されたことを明らかにしています。
検知
Hyper-V ホストを検知するためには、次の osquery を使用します。
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation を利用しているお客様は、Insight 機能を使用してこのクエリーを実行できます。
CVE-2024-38112 — Windows MSHTML プラットフォーム(CVSS 7.5)
MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。
過去には、MSHTML プラットフォームに複数の脆弱性が存在していました(Akamai の研究者が発見したものも含む)。同プラットフォームは Windows に組み込まれた機能であり、防御メカニズムを回避できるため、攻撃者にとって魅力的な攻撃ターゲットです。
この CVE の技術分析については、 Haifei Li 氏 の ブログ記事 で詳しく説明されています。
Akamai の研究者が発見した脆弱性
CVE-2024-38030 — Windows Themes(CVSS 6.5)
Microsoft Themes は、Windows の機能で、ユーザーがアイコンやフォントの表示方法などの変更を行うことができます。これは、Windows の一部として組み込まれています。
Akamai の研究者である Tomer Peled が発見した CVE-2024-38030は、スプーフィングに関する CVSS スコア 6.5 の脆弱性です。この脆弱性が悪用されると、 CVE-2024-21320(同じく Peled が 発見 した脆弱性)のパッチがバイパスされます。
CVE-2024-21320 のパッチは、 PathIsUNC 関数を導入し、テーマファイル内の特定のパスが UNC パスかどうかを確認します。Microsoft にとっては残念なことですが、James Forshaw がすでにこの関数をバイパスする方法を 検討 していました。Windows の機能を悪用するためにこのバイパスが利用されたのは、これが初めてだと思われます。
Windows Remote Desktop Licensing Service
Windows Remote Desktop Licensing Service は、 Windows Remote Desktop Services (RDS)の展開の一部として使用されます。RDS は、ユーザーの仮想リモートデスクトップを展開および管理する仮想化ソリューションです。
Licensing Service は、クライアント・アクセス・ライセンスを発行および管理するために使用されます。このライセンスは、Desktop Services を介して生成された仮想デスクトップに接続するために必要です。
今月は、Windows Remote Desktop Licensing Service の重大なリモートコード実行の脆弱性が 3 件、サービス妨害攻撃の脆弱性が 4 件ありました。
| CVE 番号 | 影響 |
|---|---|
| CVE-2024-38077 | リモートコードの実行 |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | サービス妨害 |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
緩和
Microsoft は、サービスを使用しなくなった場合は無効にすることを推奨しています。クラウドに移行する組織が増えるにつれ、RDS の展開もクラウドに移行し、オンプレミスのライセンスサーバーが不要になる可能性があります。Akamai の調査では、50% の環境に Remote Desktop Licensing Service(TermServLicensing)を実行しているサーバーがあります。
次の osquery を使用して、サービスとそのステータスを検知できます。
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
また、Licensing Service は、リモート・プロシージャ・コール(RPC)を介してネットワークにアクセスできます。そのため、エフェメラルポートと名前パイプ(\\pipe\\HydraLsPipe)を使用して通信を行いますが、これを経時的に追跡することは困難です。 Event Tracing for Windows(ETW)を使用して RPC トラフィックを監視 するか、 RPC フィルターを使用して RPC インターフェースへのアクセスを制限することができます。そのインターフェース UUID は {3d267954-eeb7-11d1-b94e-00c04fa3080d}です。
Microsoft Windows Codecs Library
Microsoft Windows Codecs Library は、Windows に組み込まれているコーデックです。コーデックは、画像、動画、オーディオ、フォントなど、さまざまなメディア形式をエンコードおよびデコードするために使用されます。
今月は、重大なリモートコード実行の脆弱性 CVE-2024-38060がありました。FAQ によると、この脆弱性は悪性の TIFF 画像をサーバーにアップロードすることで悪用される可能性があります。TIFF コーデックは、 Windows Imaging Component (WIC)の一部であり、Windows に組み込まれています。そのため、あらゆる Windows のインストールや、Windows 上で WIC を使用して TIFF 画像を解析するあらゆるプログラムに影響します。
次の osquery を使用して、コーデックライブラリーの DLL をロードしたプロセスを検知できます。
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
また、情報開示の CVE が 2 件あります。 CVE-2024-38055 は、Windows Kernel メモリーの一部を公開します。 CVE-2024-38056 は、ヒープメモリーの一部(おそらくコーデックライブラリーを使用するプロセスのヒープメモリー)を公開する可能性があります。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
| サービス | CVE 番号 | 影響 | 必要なアクセス権 |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | リモートコードの実行 | ネットワーク(SiteOwner 権限) |
| CVE-2024-38024 | |||
| CVE-2024-32987 | 情報開示 | ネットワーク(認証が必要) | |
| Windows Cryptographic Services | CVE-2024-30098 | セキュリティ機能のバイパス | ネットワーク(SHA1 衝突が必要) |
| Windows iSCSI | CVE-2024-35270 | サービス妨害 | ローカルネットワーク |
| DHCP サーバーサービス | CVE-2024-38044 | リモートコードの実行 | ネットワーク(特定の DHCP 権限が必要、おそらく DHCP 管理者) |
| Microsoft Defender for IoT | CVE-2024-38089 | 権限の昇格 | ネットワーク |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。