クラウドコンピューティングが必要ですか? 今すぐ始める

2024 年 12 月の Patch Tuesday に関する Akamai の見解

今月は 32 種類のコンポーネントに関する計 71 件の CVE があります。これらの CVE のうち 17 件は重大で、1 件は野放し状態でした。
今月は 32 種類のコンポーネントに関する計 71 件の CVE があります。これらの CVE のうち 17 件は重大で、1 件は野放し状態でした。

Advent カレンダーのポイントは何でしょうか?すべてを一度に今すぐお示しください。ただし、「すべて」とは、CVE を意味します。今月は 32 種類のコンポーネントに関する計 71 件の CVE があります。これらの CVE のうち 17 件は重大で、1 件は野放し状態でした。

このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。

こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。

今月は、バグにパッチが適用された次の領域に焦点を合わせています。

Windows Common Log File System ドライバー

Common Log File System は、高性能なログ機能を提供する Windows 内の API です。これを操作するためには、開発者およびプログラムは Clfsw32.dll DLL ファイルを使用します。このファイルは、ユーザーモードのコンポーネントです。ただし、舞台裏では、このロジックは、カーネルドライバーである clfs.sys に実装されています。今月、パッチが適用された脆弱性はおそらく、このカーネルドライバーにあります。

これは、注目すべき点です。パッチが適用されたシステムであっても、攻撃者は、次を介してこの正規のドライバーを権限昇格手法として使用できる場合があるためです: Bring Your Own Vulnerable Driver(BYOVD) 攻撃。

3 件の CVE があります。これらはすべて、ローカル権限昇格に使用されます。それらのうちの 1 件のみ( CVE-2024-49138)が野放しで検知されました - CVE-2024-49138を使用してリスクの一部を検知または緩和できます。

CVE 番号

影響

CVE-2024-49138

権限の昇格

CVE-2024-49090

CVE-2024-49088

Windows Lightweight Directory Access Protocol(LDAP)

Windows Lightweight Directory Access Protocol(LDAP)は、ディレクトリーサービス/データベースへの接続とクエリーを行うためのオープンソースのプロトコルです。Active Directory のドメインコントローラーには LDAP サーバーが実装されているため、LDAP を使用する既存のプログラムやサーバーは個別のサーバーがなくても既存のドメインコントローラーを使用できます。

今月、LDAP サービスに 4 件の脆弱性が見つかりました。この脆弱性は、パッチ未適用のドメインコントローラーに影響を及ぼします。2 件は、リモートコード実行(RCE)の脆弱性で、2 件は、サービス妨害(DoS)の脆弱性です。4 件のいずれも、認証を必要としません。

CVE 番号

影響

CVE-2024-49112

リモートコードの実行

CVE-2024-49127

CVE-2024-49121

サービス妨害

CVE-2024-49113

また、別の RCE の脆弱性もあります( CVE-2024-49124)。これは、LDAP クライアントに起因します。ただし、そのノートでは、サーバー側での悪用に言及しています。現時点では、クライアントについてか、サーバーについてか不明です。

パッチを適用するためにドメインコントローラーを停止するわけにはいきません。パッチ以外の緩和策はありますか?

いいえ。ドメインコントローラーは、ドメイン内のあらゆる側面に不可欠な要素であるため、通常のネットワーク運用に影響を与えずにドメインコントローラーへのアクセスを制限することは事実上不可能です。脆弱性の追跡さえ、脆弱性が認証を必要としないため、困難な場合があります。インシデント対応チームは、サーバーからの応答がない短期間の LDAP セッションを監視できます。これで、悪用の試みを示せる可能性があります。

いずれにしても、ドメインコントローラーがインターネットに開かれていないことを確認してください。

Windows Remote Desktop Services

Windows Remote Desktop は、Remote Desktop Protocol(RDP)を介した Windows マシン間のリモートデスクトップ接続に使用されます。今月は、Windows Remote Desktop のさまざまなコンポーネントにまつわる複数の脆弱性があるため、それらについてまとめて説明します。

主な脆弱性はもちろん、リモート・デスクトップ・サーバーに関する 9 件の重大な RCE の脆弱性です。攻撃者は RDP サーバーに接続し、不正な形式のパケットをスパムとして送信し、競合状態に勝利するだけで、それを RCE に利用できるようになります。

RDP はネットワークでよく使用されており、 ラテラルムーブメント(横方向の移動)に利用され得るため、これに関するポリシールールを作成することをお勧めします。 私たちが調査したところ96% のネットワークに Windows RDP トラフィックがあり、20% のネットワークは制限なくそのトラフィックの部分に対処していました。ここで良い面は、ほとんどの CVE が「すべての Windows Remote Desktop サービスに影響を与える」というタイトルになっているにもかかわらず、特にリモート・デスクトップ・ゲートウェイ・ロールを持つサーバーに言及していることです。リモート・デスクトップ・ゲートウェイは、あまり一般的ではなく、私たちが調査したところ、これがある環境は 36% しかありません。

CVE 番号

影響

CVE-2024-49129

サービス妨害

CVE-2024-49075

CVE-2024-49106

リモートコードの実行

CVE-2024-49108

CVE-2024-49115

CVE-2024-49119

CVE-2024-49120

CVE-2024-49123

CVE-2024-49132

CVE-2024-49116

CVE-2024-49128

CVE-2024-49105

リモートコード実行, クライアント側

RDP アクセスをユーザーマシンに制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。RDP に関する効率的な対策については、 セグメンテーションに関するブログ記事で説明しています。ポリシーの有無に関わらず、できるだけ早くパッチを適用することをお勧めします。

Microsoft Message Queuing(MSMQ)

Microsoft Message Queuing(MSMQ)サービスは、 オプション機能 であり、異なるアプリケーション間でメッセージを配信するのに使用されます。オプション機能であるにもかかわらず、Microsoft Exchange サーバーなど、Windows のエンタープライズアプリケーションの多くによってバックグラウンドで使用されています。 当社の調査結果から、このサービスは環境のほぼ 70% において、通常、複数のマシンにインストールされていることがわかりました

今月、2 件の重大なネットワーク RCE の脆弱性が見つかりました。この脆弱性を利用することで、攻撃者は特別に細工されたパケットを被害者の MSMQ サーバーに送信して、コードをリモートで実行することができます。認証は必要ありません。また、別の DoS の脆弱性もあります。

MSMQ サービスはポート 1801 からアクセスできますが、クライアントの多くはあまりアクセスしないため (主にエンタープライズアプリケーション自体で使用されるため)、 ポート 1801 と MSMQ サービスへの任意のネットワークアクセスを制限することを推奨します。許可リストポリシーを使用してサービスをセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。セグメンテーションに関するブログ記事、特に次を参照できます: アプリケーションリングフェンシングマイクロセグメンテーション セクション(詳細あり)。

CVE 番号

影響

CVE-2024-49118

リモートコードの実行

CVE-2024-49122

CVE-2024-49096

サービス妨害

Windows Local Security Authority Subsystem Service(LSASS)

Local Security Authority Subsystem Service(LSASS)は、Windows オペレーティングシステムのコアプロセスです。ユーザーモードで、ただし、保護されたプロセスとして実行され、アクセスおよびセキュリティ、つまり、ユーザーログオン、パスワード確認、セキュリティトークン管理の処理を担当します。

攻撃者およびレッドチーマーが使用する典型的な手口は、プロセスのメモリーをダンプして、その中に保存されているユーザーパスワードを入手することでした。 Microsoft はストップをかけました。 プロセスを保護されたプロセスにし、最近では Hyper-V を使用して通常のユーザーモードから分離するなど、ますます多くのセキュリティメカニズムを追加したのです。 それほど重要です

ログオンを担当するプロセスとして、一部のネットワークコンポーネント、つまり RPC サーバーの形式でも常にリッスンしています。今月の重大な RCE( CVE-2024-49126)は、これらのコンポーネントの 1 つを中核としています。競合状態の場合、リモート攻撃者は、認証することなくプロセス上で任意のコードを実行できます。

以前に対応したサービス

今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。

サービス

CVE 番号

影響

必要なアクセス権

Microsoft SharePoint

CVE-2024-49070                   

任意コード実行

ネットワーク。ユーザーは悪性ファイルを開く必要があります

CVE-2024-49068                                            

権限の昇格

ネットワーク

CVE-2024-49064

情報開示

CVE-2024-49062

Windows Routing and Remote Access Service(RRAS)

CVE-2024-49085

リモートコードの実行

ネットワーク

CVE-2024-49086

CVE-2024-49089

CVE-2024-49102

CVE-2024-49104

CVE-2024-49125

Windows Hyper-V

CVE-2024-49117

リモートコードの実行

ローカル。ゲストからホストへ

Windows タスクスケジューラ

CVE-2024-49072

権限の昇格

ローカル

Windows Cloud Files Mini Filter ドライバー

CVE-2024-49114

権限の昇格

ローカル

このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。