2024 年 4 月の Patch Tuesday に関する Akamai の見解
ハッピー・イード・アル=フィトル、ハッピーイースター、ハッピーパスオーバー。4 月は伝統的に祝日の多い月です。もしも CVE がプレゼントであれば、Microsoft はお祝い気分になっていたでしょう。2024 年 4 月の Patch Tuesday には合計 147 件の CVE があり、そのうち 3 つが重大な Microsoft Defender for IoTの脆弱性でした。また、 野放し状態の CVEもありました。それは、悪性のペイロードに署名するために使用されている Microsoft 証明書です。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
プロキシドライバー
Sophos X-Ops が検知 したのは、Microsoft Windows Hardware Compatibility Publisher シグニチャーで署名され、正当なペイロードになりすまそうとしている悪性のペイロードでした。調査結果が Microsoft に報告され、 CVE-2024-26234 によって関与している証明書が失効し、信頼できる証明書としてパスしなくなりました。
影響を受けたシグネチャーで署名されたペイロードのハンティングは、Insight を使用して行えます。該当するお客様は、次のクエリーを実行して、失効した証明書で署名された実行中のプロセスがあるかどうかを確認できます。
SELECT issuer_name, path
FROM authenticode
WHERE
path IN (SELECT DISTINCT path FROM processes)
AND
serial_number = '3300000057ee4d659a923e7c10000000000057'
AND
subject_name = 'Microsoft Windows Hardware Compatibility Publisher'
Microsoft Defender for IoT
Microsoft Defender for IoT は、Internet of Things(IoT)デバイス、産業用制御システム、運用テクノロジーなどの産業用ネットワークコンポーネントを保護するためのセキュリティプラットフォームです。今月、3 つの重大なリモートコード実行(RCE)の脆弱性にパッチが適用されたほか、3 つの重要な権限昇格(EoP)の脆弱性が見つかりました。
その脆弱性自体が、Defender for IoT スタックのさまざまなコンポーネントに影響を与えます。 CVE-2024-21322 は、ポータル Web アプリケーションを介して悪用される RCE です。 CVE-2024-21323 は、センサー更新パッケージを介して悪用される RCE です。コンポーネントに関係なく、すべての脆弱性はネットワークを通じて悪用される可能性があるため、 ネットワークセグメンテーションを使用してリスクの一部を検知または緩和できます。
CVE 番号 |
影響 |
|---|---|
リモートコードの実行 |
|
権限の昇格 |
|
Windows Routing and Remote Access Service(RRAS)
Routing and Remote Access Service(RRAS) は、オペレーティングシステムをルーターとして動作させる Windows サービスであり、VPN またはダイヤルアップを使用したサイト間接続を可能にします。今月、このサービスに 3 つの重大な脆弱性が発見され、いずれも CVSS スコアは 8.8 でした。このパッチノートには、無防備なクライアント上の悪性サーバーによって RCE の脆弱性がトリガーされることを除き、多くの情報はありません。そのため、 ゼロトラストとセグメンテーションを通じて、これらの脆弱性がもたらすリスクの一部を緩和することができます。
RRAS はすべての Windows サーバーで使用できるわけではなく、リモートアクセス・ロールの一部として提供されており、特別にインストールする必要があります。私たちの調査では、監視対象の環境の約 12% で Remote Access ロールがインストールされた Windows サーバーが使用されていることがわかりました。
RRAS に加えて、今月のパッチには Remote Access Connection Managerの複数の CVE が含まれています。Connection Manager を使用して RRAS などへの接続プロファイルを構築するため、2 つのサービスは関連しています。
CVE 番号 |
コンポーネント |
影響 |
|---|---|---|
RRAS |
リモートコードの実行 |
|
Connection Manager |
権限の昇格 |
|
情報開示 |
||
Windows 認証
Windows でサポートされている認証方法、プロトコル、プロバイダーは複数あるため、Windows 認証はかなり広義の用語です。Windows 認証の 2 つの CVE は、完全に異なる 2 つのコンポーネントに関するものです。
CVE-2024-21447 は、User Manager サービスにおける EoP の脆弱性であり、おそらくディレクトリの制限が不適切であることが原因です。これは、明らかに部分的な修正だった CVE-2023-36047のバイパスです。
CVE-2024-29056は、FAQ セクションや関連する ナレッジベースの記事によると、Kerberos PAC 検証の実装の問題のようです。また、他の Kerberos の CVE にも関連している可能性があります。
CVE 番号 |
コンポーネント |
影響 |
|---|---|---|
User Manager |
権限の昇格 |
|
Kerberos PAC 検証 |
||
Windows Kerberos |
サービス妨害 |
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
情報開示 |
ローカル |
||
リモートコードの実行 |
ローカル、ユーザーのインタラクションが必要 |
||
ネットワーク |
|||
セキュリティ機能のバイパス |
ネットワーク、ユーザーのインタラクションが必要 |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。