2023 年 12 月の Patch Tuesday に関する Akamai の見解
皆さん、今回が今年最後の Patch Tuesday です。今月は 33 件のパッチ適用済み CVE だけなので、Microsoft は無事に休暇をとれそうです。しかし Akamai に休みはありません。弊社の一員である Ben Barneaが発見した CVE がパッチに含まれているからです。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。今月パッチが適用された 33 件の CVE のうち、4 つが重大で(ただし、リモートコード実行(RCE)を達成できるのは 3 つだけ)、最高の CVSS スコアは 9.6 です。今月は、公表されているまたは野放し状態で悪用されていると報告された CVE はありませんでした。
このレポートでは、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
Windows MSHTML プラットフォーム
これは、Akamai の研究者 Ben Barnea が発見した MSHTML コンポーネントの RCE の脆弱性です。
MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。
Microsoft のアドバイスで説明されているように、この脆弱性は Outlook クライアントに対して使用され、 電子メールを表示する前にトリガーされる可能性があります。この脆弱性は、トリガーされやすいメモリー破損の脆弱性ですが、悪用することは困難です。
Akamai は今後数週のうちに、この脆弱性をトリガーする他のベクトル(電子メール以外)に関する情報など、より多くの詳細な技術情報を共有します。
Microsoft Edge(Chromium ベース)
Microsoft Edge は、独自のクロスプラットフォーム Web ブラウザーです。当初は独自のツールを使用して開発されましたが、Microsoft は 2020 年にこのブラウザーを完全に移植し、Google の Chromium オープン・ソース・プロジェクトを使用するようにしました。
今月は、Microsoft Edge に関連する CVE が 3 つあり、そのうち 2 つは重大度の低い情報漏えいの脆弱性で(CVE-2023-38174 および CVE-2023-36880)、残りの 1 つは重大度が中程度の権限昇格(EOP)の脆弱性( CVE-2023-35618)です。どの脆弱性も、攻撃者が悪用するためには、ユーザーを欺いて Web サイトに誘導したりリンクを開かせたりして、フィッシング攻撃に引っかける必要があります。
興味深いのは、EOP の脆弱性は中程度の重大度と評価されていますが、CVSS スコアは 9.6 で、非常に高いことです。このように差がある理由は、この脆弱性をトリガーするのが困難であることです。Microsoft によると、攻撃者がこの脆弱性をトリガーするためには、ユーザーを欺いて、特別に細工されたコンテンツをホストしている Web ページまたはサーバーを開かせ、さらに特別に細工されたファイルを開かせる必要があります。このような多段階のプロセスが求められるため、Microsoft の 報奨金制度ガイドラインに従って、重大度の評価が下げられています。
Microsoft Edge は、Windows オペレーティングシステムにデフォルトで搭載されています。Akamai の見解では、これはエンタープライズネットワークで最も使用されているブラウザーであり、ブラウザーを実行しているマシンの 52% で使用されています。
Microsoft Power Platform コネクター
Microsoft Power Platform は、ビジネスインテリジェンスとアプリケーション開発に役立つツールと製品のセットです。 コネクター は、基盤サービスが Power Platform 製品と通信できるようにするプロキシまたは API ラッパーです。
今月は 1 つの重大な CVE( CVE-2023-36019)があり、ベーススコアは 9.6 です。攻撃者はこの CVE を利用して、リンク、アプリケーション、またはファイルを操作し、ユーザーを欺いて正当なアプリケーションとやり取りしていると思わせることができます。パッチノートにはカスタムコネクター(Microsoft から利用可能なオプションが提供されていない場合にユーザー自身が構築するコネクター)について記載されているため、Akamai はそこに脆弱性が存在すると推測しています。また、パッチノートには、 コネクターごとのリダイレクト URIを受け取るためにカスタムコネクターを更新する必要があることも記載されています。
Akamai の仮説 では、コネクターがリダイレクト URI を共有できるため、攻撃者はコネクターやターゲットになりすましてユーザーを欺き、誤った場所に接続させることができたと考えられています。
Microsoft によると、影響を受けた顧客には Microsoft 365 Admin Center 経由、または Azure Portal の Service Health 経由で連絡が行われました。
インターネット接続共有
インターネット接続共有(ICS)は、インターネットに接続されたコンピューターがローカルネットワーク上の他のコンピューターとインターネット接続を共有できるようにする Windows サービスです。ICS サービスを実行しているコンピューターは、それを使用する隣接コンピューターに DHCP(Dynamic Host Configuration Protocol)および NAT(Network Address Translation)サービスを提供します。
今月は CVE が 3 つあり、そのうち 2 つは CVSS スコア 8.8 の重大な RCE の脆弱性でした。残りの 1 つはサービス妨害の脆弱性(CVE-2023-35642)で、CVSS スコアは 6.5、重大度は「重要」とされています。
重大な脆弱性はどちらも ICS サービスの DHCP 部分に存在します。 CVE-2023-35641 を攻撃者が悪用するためには、RCE を実現するために特別に細工された DHCP パケットを送信する必要があります。
CVE-2023-35630 を攻撃者が悪用するためには、DHCPv6 入力メッセージの可変長フィールド( DHCPV6_MESSAGE_INFORMATION_REQUEST)を変更する必要があります。攻撃者はどちらの脆弱性を悪用しても、ICS サービスコンピューターで RCE を達成することができます。
ICS は、最新の Windows インストール(ワークステーション および サーバー)でデフォルトで使用でき、通常はトリガースタートに設定されています。つまり、IP NAT Helper RPC サーバーインターフェースへの RPC 接続後に開始されます。
Akamai Guardicore Segmentation の Insight 機能で次のクエリーを使用して、ICS サービスとそのステータスを検索できます。
SELECT status, start_type FROM services WHERE name='SharedAccess'
私たちが調査したところ、 27% の環境では、一部のマシンで ICS サービスが実行されていました。通常、1 つのネットワークで ICS サービスを実行していたマシンの割合は 1% 未満でした。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
サービス妨害 |
ネットワーク |
||
サービス妨害 |
ネットワーク |
||
情報開示 |
|||
リモートコードの実行 |
ネットワーク |
||
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。
