2024 年 12 月の Patch Tuesday に関する Akamai の見解
Advent カレンダーのポイントは何でしょうか?すべてを一度に今すぐお示しください。ただし、「すべて」とは、CVE を意味します。今月は 32 種類のコンポーネントに関する計 71 件の CVE があります。これらの CVE のうち 17 件は重大で、1 件は野放し状態でした。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
Windows Common Log File System ドライバー
Common Log File System は、高性能なログ機能を提供する Windows 内の API です。これを操作するためには、開発者およびプログラムは Clfsw32.dll DLL ファイルを使用します。このファイルは、ユーザーモードのコンポーネントです。ただし、舞台裏では、このロジックは、カーネルドライバーである clfs.sys に実装されています。今月、パッチが適用された脆弱性はおそらく、このカーネルドライバーにあります。
これは、注目すべき点です。パッチが適用されたシステムであっても、攻撃者は、次を介してこの正規のドライバーを権限昇格手法として使用できる場合があるためです: Bring Your Own Vulnerable Driver(BYOVD) 攻撃。
3 件の CVE があります。これらはすべて、ローカル権限昇格に使用されます。それらのうちの 1 件のみ( CVE-2024-49138)が野放しで検知されました - CVE-2024-49138を使用してリスクの一部を検知または緩和できます。
CVE 番号 |
影響 |
---|---|
権限の昇格 |
|
Windows Lightweight Directory Access Protocol(LDAP)
Windows Lightweight Directory Access Protocol(LDAP)は、ディレクトリーサービス/データベースへの接続とクエリーを行うためのオープンソースのプロトコルです。Active Directory のドメインコントローラーには LDAP サーバーが実装されているため、LDAP を使用する既存のプログラムやサーバーは個別のサーバーがなくても既存のドメインコントローラーを使用できます。
今月、LDAP サービスに 4 件の脆弱性が見つかりました。この脆弱性は、パッチ未適用のドメインコントローラーに影響を及ぼします。2 件は、リモートコード実行(RCE)の脆弱性で、2 件は、サービス妨害(DoS)の脆弱性です。4 件のいずれも、認証を必要としません。
CVE 番号 |
影響 |
---|---|
リモートコードの実行 |
|
サービス妨害 |
|
また、別の RCE の脆弱性もあります( CVE-2024-49124)。これは、LDAP クライアントに起因します。ただし、そのノートでは、サーバー側での悪用に言及しています。現時点では、クライアントについてか、サーバーについてか不明です。
パッチを適用するためにドメインコントローラーを停止するわけにはいきません。パッチ以外の緩和策はありますか?
いいえ。ドメインコントローラーは、ドメイン内のあらゆる側面に不可欠な要素であるため、通常のネットワーク運用に影響を与えずにドメインコントローラーへのアクセスを制限することは事実上不可能です。脆弱性の追跡さえ、脆弱性が認証を必要としないため、困難な場合があります。インシデント対応チームは、サーバーからの応答がない短期間の LDAP セッションを監視できます。これで、悪用の試みを示せる可能性があります。
いずれにしても、ドメインコントローラーがインターネットに開かれていないことを確認してください。
Windows Remote Desktop Services
Windows Remote Desktop は、Remote Desktop Protocol(RDP)を介した Windows マシン間のリモートデスクトップ接続に使用されます。今月は、Windows Remote Desktop のさまざまなコンポーネントにまつわる複数の脆弱性があるため、それらについてまとめて説明します。
主な脆弱性はもちろん、リモート・デスクトップ・サーバーに関する 9 件の重大な RCE の脆弱性です。攻撃者は RDP サーバーに接続し、不正な形式のパケットをスパムとして送信し、競合状態に勝利するだけで、それを RCE に利用できるようになります。
RDP はネットワークでよく使用されており、 ラテラルムーブメント(横方向の移動)に利用され得るため、これに関するポリシールールを作成することをお勧めします。 私たちが調査したところ、 96% のネットワークに Windows RDP トラフィックがあり、20% のネットワークは制限なくそのトラフィックの部分に対処していました。ここで良い面は、ほとんどの CVE が「すべての Windows Remote Desktop サービスに影響を与える」というタイトルになっているにもかかわらず、特にリモート・デスクトップ・ゲートウェイ・ロールを持つサーバーに言及していることです。リモート・デスクトップ・ゲートウェイは、あまり一般的ではなく、私たちが調査したところ、これがある環境は 36% しかありません。
CVE 番号 |
影響 |
---|---|
サービス妨害 |
|
リモートコードの実行 |
|
リモートコード実行, クライアント側 |
RDP アクセスをユーザーマシンに制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。RDP に関する効率的な対策については、 セグメンテーションに関するブログ記事で説明しています。ポリシーの有無に関わらず、できるだけ早くパッチを適用することをお勧めします。
Microsoft Message Queuing(MSMQ)
Microsoft Message Queuing(MSMQ)サービスは、 オプション機能 であり、異なるアプリケーション間でメッセージを配信するのに使用されます。オプション機能であるにもかかわらず、Microsoft Exchange サーバーなど、Windows のエンタープライズアプリケーションの多くによってバックグラウンドで使用されています。 当社の調査結果から、このサービスは環境のほぼ 70% において、通常、複数のマシンにインストールされていることがわかりました。
今月、2 件の重大なネットワーク RCE の脆弱性が見つかりました。この脆弱性を利用することで、攻撃者は特別に細工されたパケットを被害者の MSMQ サーバーに送信して、コードをリモートで実行することができます。認証は必要ありません。また、別の DoS の脆弱性もあります。
MSMQ サービスはポート 1801 からアクセスできますが、クライアントの多くはあまりアクセスしないため (主にエンタープライズアプリケーション自体で使用されるため)、 ポート 1801 と MSMQ サービスへの任意のネットワークアクセスを制限することを推奨します。許可リストポリシーを使用してサービスをセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。セグメンテーションに関するブログ記事、特に次を参照できます: アプリケーションリングフェンシング と マイクロセグメンテーション セクション(詳細あり)。
CVE 番号 |
影響 |
---|---|
リモートコードの実行 |
|
サービス妨害 |
Windows Local Security Authority Subsystem Service(LSASS)
Local Security Authority Subsystem Service(LSASS)は、Windows オペレーティングシステムのコアプロセスです。ユーザーモードで、ただし、保護されたプロセスとして実行され、アクセスおよびセキュリティ、つまり、ユーザーログオン、パスワード確認、セキュリティトークン管理の処理を担当します。
攻撃者およびレッドチーマーが使用する典型的な手口は、プロセスのメモリーをダンプして、その中に保存されているユーザーパスワードを入手することでした。 Microsoft はストップをかけました。 プロセスを保護されたプロセスにし、最近では Hyper-V を使用して通常のユーザーモードから分離するなど、ますます多くのセキュリティメカニズムを追加したのです。 それほど重要です。
ログオンを担当するプロセスとして、一部のネットワークコンポーネント、つまり RPC サーバーの形式でも常にリッスンしています。今月の重大な RCE( CVE-2024-49126)は、これらのコンポーネントの 1 つを中核としています。競合状態の場合、リモート攻撃者は、認証することなくプロセス上で任意のコードを実行できます。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
---|---|---|---|
任意コード実行 |
ネットワーク。ユーザーは悪性ファイルを開く必要があります |
||
権限の昇格 |
ネットワーク |
||
情報開示 |
|||
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
ローカル。ゲストからホストへ |
||
権限の昇格 |
ローカル |
||
権限の昇格 |
ローカル |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。