2023 年 8 月の Patch Tuesday に関する Akamai の見解

Akamai の研究者によって報告された脆弱性

CVE-2023-35384 — Windows HTML プラットフォーム（CVSS 5.4）

この脆弱性に割り当てられた重大度は低いものの、かなり興味深い背景と影響があります。Ben Barnea が 5 月の Patch Tuesday の分析中に見つけたこの脆弱性は、今月修正されました。

最初は、Microsoft が CVE-2023-23397 にパッチを適用しました。これは、Outlook の権限昇格（EOP）の重大な脆弱性であり、野放し状態で悪用されていました。この脆弱性により、攻撃者は被害者に電子メールを送信して、攻撃者自身が制御するサーバーへの SMB 接続をトリガーし、その結果、NTLM 認証情報を傍受（おそらくクラックまたはリレーも）することができました。これは、認証されていない攻撃者によってインターネット上のどこからでも悪用される可能性がある、ゼロクリックの脆弱性でした。

CVE-2023-23397 の修正により、パスをローカル、イントラネット、インターネットなどとして分類するためのチェックが追加されました。このチェックは特別に細工されたパスを供給することによって回避される可能性があり、それについては 以前のブログ記事で説明し実証しました。

今月の CVE-2023-35384 は、Microsoft の修正に対するもう 1 つの回避策です。混乱してしまった人のために順序を整理します。

Akamai は CVE-2023-35384 の詳細を共有し、驚くような方法でその悪用を実証することを計画していますので、その記事をお見逃しなく。

野放し状態で悪用されていた脆弱性

CVE-2023-38180 — .NET Core および Visual Studio（CVSS 7.5）

これは DoS の脆弱性ですが、この CVE に伴ってリリースされたメモ、FAQ、謝辞はありません。したがって、根本原因を推測することはほぼ不可能です。しかし、攻撃ベクトルはネットワークなので、いくつかのヒントがあります。お断り：次のパラグラフの内容は完全に推測です。

Visual Studio のローカルにインストールされたインスタンスに関する Akamai のテスト結果によると、この CVE は受信接続をリッスンしているようには見えません（ただし、そのプロセスからの送信接続は確認されています）。そのため、攻撃者がネットワーク経由でプロセスに直接到達するのではなく、悪性のファイルを被害者に送信して Visual Studio と .NET Core のインスタンスをクラッシュさせることで、攻撃ベクトルが達成される可能性が高いです。

Microsoft Message Queuing

今月は 11 個の Microsoft Message Queuing（MSMQ）サービスの脆弱性にパッチが適用されました。CVSS スコア 9.8 の重大なリモートコード実行（RCE）の脆弱性が 3 つ、DoS の脆弱性が 6 つ、情報漏えいの脆弱性が 2 つです。 

MSMQ サービスは Windows の オプション機能 であり、異なるアプリケーション間でメッセージを配信するのに使用されます。オプション機能であるにもかかわらず、Microsoft Exchange サーバーなど、Windows のエンタープライズアプリケーションの多くによってバックグラウンドで使用されています。 弊社の調査結果から、このサービスは約 69% の環境で、通常、複数のマシンにインストールされていることがわかりました

MSMQ サービスはポート 1801 からアクセスできますが、クライアントの多くはアクセスする必要がないため （主にエンタープライズアプリケーション自体で使用されるため）、 ポート 1801 と Message Queuing サービスへの任意のネットワークアクセスを制限することを推奨します 許可リストポリシーを使用してセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。セグメンテーションについては、弊社のブログ記事「 実用的観点からの（マイクロ）セグメンテーション 」（特に アプリケーションリングフェンシング と マイクロセグメンテーション のセクション）を参照してください。

Microsoft Exchange Server

今月は Microsoft Exchange Server の CVE が 6 つありました。そのうちの 4 つはリモートサーバーでのリモートコード実行を可能にする脆弱性、残りの 2 つは EoP またはスプーフィングの脆弱性です。私たちの調査では、約 28% の環境がオンプレミス Microsoft Exchange Server を使用していることがわかりました。

EoP に関する CVE である CVE-2023-21709は、実際のところ CVSS スコアが最も高い（9.8）ですが、重大度が「重大（Critical）」ではなく「高（Important）」に分類されています。Microsoft によると、この脆弱性を悪用することで、攻撃者は Exchange ユーザーのパスワードを総当たりし、そのユーザーとしてログインできます。重大度が「Important」であるのは、複雑なパスワードを使用しているユーザーに対しては総当たり攻撃が効果的でないからです。 

この CVE では、パッチを適用するだけでは不十分です。Microsoft は追加のスクリプト CVE-2023-21709.ps1を提供しており、管理者はパッチのインストール後にこれを実行する必要があります。または、次のコマンドが有効です。

また、Microsoft はパッチ適用の代わりにこのスクリプト（または上記のコマンド）を実行することでこの脆弱性に対処できると述べていますが、Microsoft も弊社もできるだけ早くパッチを適用することを強く推奨しています。

以前に対応したサービス

今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。