2022 年 12 月の Patch Tuesday に関する Akamai の見解
2022 年 12 月の Patch Tuesday が Microsoft から リリースされました。Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。今年はクリスマスが早く来たようです。12 月のアップデートは前月よりもはるかにボリュームが少ないため、休日の前にあまりパニックしなくても済むかもしれません。少なくとも、次の Log4Shell の後継が現れるまではそれほどパニックになる必要はないでしょう( すでに有力な後継候補が出現しているため、パッチの適用はお忘れなく!)。
本レポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点で説明します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
このレポートで説明する、影響を受ける各サービスについて、Akamai ではパッチ適用が不可能な場合の監視と緩和のための推奨事項を提供します。 もちろん、パッチ適用に勝る緩和策はないため、できる限りシステムにパッチを適用し、最新の状態を維持してください。
Windows PowerShell
Windows PowerShell は、システムの運用と管理、自動化に役立つツールです。Windows のほとんどのバージョンにおいてデフォルトで使用できます。今月、1 件の重要な CVE である CVE-2022-41076にパッチが適用されました。この CVE の CVSS スコアは 8.5 で、実際には PowerShell Remote に関係しています。PowerShell は、WinRM プロトコルを介したリモートコマンドをサポートしていますが、 デフォルトでは有効になっていません。そのようなアクセスや通信を可能にする前に、サーバーで PSRemoting を有効にする 必要があります。この CVE の悪用に成功すると、 認証済みの攻撃者 が PSRemote セッションの設定をエスケープし、未承認のコマンドを実行する可能性があります。
適用範囲
PowerShell Remote の通信は WinRM を介して行われるため、その利用範囲は、WinRM 接続を特定することにより評価することができます。Akamai が監視する環境のうち、 77% の環境において、WinRM が有効になっているマシンが 1 台以上存在していました。これらのネットワークでは、監視対象マシンの平均 27% が WinRM 接続を受け入れていました。WinRM をまったく使用していないネットワークもあれば、95% 以上のマシンで WinRM を有効にしているネットワークもありました。
一般的な推奨事項
何よりも重要な推奨事項は、必ずすべてのシステムにパッチを適用することです。すぐにパッチを適用できない場合は、PowerShell Remote のいくつかの側面を利用して、リスクの一部を緩和できます。
PowerShell Remote と WinRM はデフォルトでは有効になっていないため、これらを有効にしたマシンのみがリスクにさらされます。WinRM が有効になっているかどうかを確認するためには、 WinRM サービスが実行されているかをチェックするか、PowerShell コマンド Test-WSManを使用します。さらに、ネットワークの可視性がある場合には、デフォルトの WinRM ポートである TCP ポート 5985 および 5986 を介した通信を探すこともできます。
WinRM が有効になっているマシンでは、マイクロセグメンテーションを行うことにより、必要なソースへのアクセスのみに制限できます(たとえば、IT の担当者またはサービスのみに制限するなど)。これは、デフォルトの WinRM ポートである TCP ポート 5985 および 5986 を介して行うことができます。どのユーザーやマシンなどにアクセスを許可するかを決定するためには、ネットワーク可視化ツールまたはネットワークスニファーを使用して、既存の通信パターンを確認することをお勧めします。
WinRM が有効になっているマシンが接続されていない場合、または WinRM を有効にする必要がないと思われる場合には、そのマシンを無効にすることができます。
可視化やセグメンテーションを行うことや、サービスの不要な使用を無効にすることにより、システムにパッチを適用する時間を確保するまでの間、この CVE の影響を大幅に減らすことができます。
Windows クライアント/サーバー・ランタイム・サブシステム
Windows クライアント/サーバー・ランタイム・サブシステム(CSRSS)は、Windows コンピューター上のさまざまな機能を担当するシステムプロセスです。そうした機能には、プロセスおよびスレッドの作成と削除、コンソールアプリケーションのサポートなどがあります。
csrss.exe プロセスは非常に重要であるため、すべての Windows マシンでシステム起動時に起動され、終了することはできません。このプロセスが終了すると、「ブルースクリーン(Blue Screen of Death)」(つまりシステムクラッシュ)という惨事が発生します。
今月は、CSRSS で 1 件の 権限の昇格 の CVE である CVE-2022-44673にパッチが適用されました。CVSS スコアは 7 とされ、「重要」とマークされています。Microsoft のレポートによると、この脆弱性の悪用に成功した攻撃者は SYSTEM 権限を取得できます。
攻撃の複雑さは「高」とマークされていますが、Microsoft はレポートの中で「悪用の可能性が高い」と述べています。これは、 CSRSS がすべての Windows マシンで実行されるからです。Akamai はパッチの適用を強くお勧めします。
Microsoft Office
クリスマスには贈り物が欠かせません。今月の Microsoft Office CVE も贈り物のようなムードです。10 件の脆弱性が発表されましたが、すべての CVSS スコアの平均は 7.8、重大度は「重要」です。これらは、Visio、OneNote、Microsoft Office Graphics の 3 つの製品/コンポーネントに広がっています。
攻撃ベクトル
すべての CVE がリモートコードの実行としてマークされていますが、実際には任意コードの実行(ACE)の脆弱性です。つまり、攻撃者は脆弱性自体を悪用することはできず、代わりにユーザーをだまし、ソーシャルエンジニアリングを通じて脆弱性を悪用する必要があるということです。この脆弱性の悪用を成功させるためには、ユーザーまたは被害者をだまして巧妙に細工したファイルをダウンロードさせ、該当する脆弱なソフトウェアでファイルを開かせる必要があります。
ソーシャルエンジニアリングの試みへの警戒を怠らないようエンドユーザーに働きかけることで、悪用が成功するリスクを軽減できます。クリスマス詐欺に引っかからないようにする重要性をエンドユーザーが理解していることを確認してください。そうしないと、休暇から戻ってきたときに、ネットワークに危険が迫っている可能性があります。また、この 3 つのアプリケーションは通常、サーバーには存在しません。したがって、ユーザーのダウンタイムはサーバーのダウンタイムよりもコストが低いため、ユーザーエンドポイントにパッチを適用する方が簡単かもしれません。
CVE
CVE 番号 |
コンポーネント |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
以前に対応したサービス
今月の Patch Tuesday の CVE の多くは、以前に Akamai が説明しているシステムに関するものであり、それらを緩和することに関して新たに付け加えることは何もありません。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、以前の投稿をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
リモートコードの実行 |
リスト管理権限の認証 |
||
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
次を介した認証済み接続: WCF TCP |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。
