2024 年 8 月の Patch Tuesday に関する Akamai の見解
ラスベガスはこのところハッカーで溢れかえり、あらゆるものが悪用されています。この Patch Tuesday で 6 つの脆弱性が悪用されていたことが判明したことからも分かるように、西部は明らかに野放し状態となっています。2024 年 8 月の Patch Tuesday でリリースされた 89 件の CVE のうち 4 件が公開され、1 件が Black Hat で発表されました。今月は、1 件の勧告も含まれています。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-38178 — スクリプトエンジンのメモリ破損(CVSS 7.5)
Windows スクリプト言語とは、VBScript や JavaScript など、Windows 内に導入されている複数のスクリプト言語のことです。jscript9.dll というファイルが変更されていることが判明したので、修正された脆弱性は JScript コンポーネント にあると考えられます。
JScript は、Microsoft が実装している ECMAScript です。これは、JavaScript をサポートし、Internet Explorer で使用されているものと同じ標準です。Chakra も JScript から派生した JavaScript エンジンであり、Microsoft Edge Legacy で使用されます(Edge の新バージョンは Chromium ベース)。いずれも DLL として実装され、jscript9.dll および chakra.dll というわかりやすい名称が付けられています。
この勧告によると、攻撃は被害者がリンクをクリックし、Internet Explorer モードで Edge を使用することを要求します。この脆弱性は、他の方法でも(おそらく Office を介して)引き起こされる可能性があると私たちは考えています。
CVE-2024-38213 — Windows Mark Of The Web(CVSS 6.5)
この 脆弱性が修正されたのは 2024 年 6 月ですが、勧告が発表されたのは 2024 年 8 月であることに注意する必要があります。
これは、セキュリティバイパスの脆弱性で、Web からダウンロードされた潜在的に悪性であるファイルを開くときに SmartScreen セキュリティ警告をスキップします。このシナリオでは、Windows SmartScreen は警告画面を表示する役割を担います。この脆弱性により、攻撃者が特定の方法でファイルを作成した場合、Windows SmartScreen がファイルのチェックに失敗し、警告画面が回避されます。
SmartScreen 回避の脆弱性が攻撃者によって積極的に悪用されたのは、これが初めてではありません。2023 年 11 月と 2024 年 2 月のパッチにも、活発に悪用されていると報告されたバイパス脆弱性の修正が含まれていました。
また、他にも 4 件の脆弱性が野放し状態で悪用されていました。
Windows TCP/IP
Windows の TCP/IP スタックは、オペレーティングシステムのネットワーク機能のコアコンポーネントです。TCP/IP プロトコルスイートを使用してネットワーク間のデータ転送を処理します。これは、インターネットやほとんどのローカルネットワークを介した通信の基盤となります。
Windows オペレーティングシステムでは、TCP/IP スタックは tcpip.sys ドライバーに実装されています。このカーネルモジュールは、IPv4 や IPv6 のようなトランスポート層を介した TCP を含むネットワークプロトコルの処理を担当します。
CVE-2024-38063 (CVSS 9.8)は、このネットワークスタックに存在する重大な脆弱性で、 認証されていない攻撃者 が特別に細工された IPv6 パケットを送信して、リモートでコードを実行できるようになる可能性があります。
Microsoft Security Response Center チームによる 注目すべきブログ投稿では、 このコンポーネントで以前に発見された CVE について述べられており、不正な細工を施されたパケットを使用したリモートコード実行(RCE)およびサービス拒否(DoS)攻撃が実行可能であるとしています。CVSS は、以前の所見とは対照的に、攻撃の複雑性が低い(AC:L)ことを示しています。
Microsoft によると、IPv6 が無効になっているマシンはこの脆弱性から保護されています。この脆弱性は、IPv6 の普及、攻撃の複雑性の低さ、そして認証されていない攻撃者がアクセスできるという状況から、攻撃者に使用される可能性があると考えられます。したがって、マシンにパッチを適用する必要があるのです。
以下の osquery を使用して、有効で IPv6 アドレスをもつネットワークアダプターを検出できます。
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windows ネットワーク仮想化
Windows ネットワークの仮想化(WNV)は、Hyper-V ネットワーク仮想化フレームワーク内の機能で、複数の仮想マシン(VM)が異なるサブネットまたは物理ネットワーク上にある場合でも、あたかも同じサブネット上にあるかのように通信できるようにします。これは、仮想ネットワークを物理ネットワークから切り離すことによって実現され、ネットワーク構成を変更することなく、VM を物理ホスト間で移動させることができます。
WNV では、パケットのカプセル化に NVGRE(Network Virtualization Generic Routing Encapsulation)または VXLAN(Virtual Extensible LAN)を使用しているため、クラウド環境での分離、スケーラビリティ、マルチテナントのサポートが可能です。
CVE-2024-38159 と CVE-2024-38160 は どちらもゲストからホストへのエスケープを引き起こす可能性があり、その結果 RCE につながる可能性があります。どちらの脆弱性も CVSS は 9.1 ですが、影響を受けるのは Windows Server 2016 および Windows 10(1607)のみです。
Microsoft では、Hyper-V マシンを VMware などの別の仮想プラットフォーム内で実行するか、Hyper-V ベースの仮想化を完全にあきらめることで、この脆弱性を緩和することを提案しています。
Windows Routing and Remote Access Service(RRAS)
Routing and Remote Access Service(RRAS) は、オペレーティングシステムをルーターとして動作させる Windows サービスであり、VPN またはダイヤルアップを使用したサイト間接続を可能にします。今月、このサービスに 6 つの脆弱性が発見され、そのうち 5 つの CVSS スコアは 8.8 でした。
このパッチノートからはあまり多くの情報は得られませんが、RCE の脆弱性が無防備なクライアント上の悪性のサーバーによってトリガーされることは分かっています。そのため、 ゼロトラストとセグメンテーションを通じて、これらの脆弱性がもたらすリスクの一部を緩和することができます。
RRAS はすべての Windows サーバーで使用できるわけではなく、Remote Access ロールの一部として提供されており、特別にインストールする必要があります。私たちの調査では、監視対象の環境の約 12% で Remote Access ロールがインストールされた Windows サーバーが使用されていることがわかりました。
Microsoft Outlook
どうやら、Outlook の脆弱性がなければ、Patch Tuesday を適用できないようです。 CVE-2024-38173 は、Outlook の RCE の脆弱性です。プレビュー画面は攻撃ベクトルですが、この脆弱性には被害者の認証情報が必要です。
この脆弱性を誘発するために、悪性のフォームが Exchange にアップロードされます。被害者の Outlook が Exchange と同期すると、悪性のフォームがダウンロードされ、被害者のマシン上でコードが実行される可能性があります。この脆弱性は Morphisec によって発見されたもので、 CVE-2024-30103 と同様のものであると考えています。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。