2023 年 2 月の Patch Tuesday に関する Akamai の見解
定例の パッチ 公開日に Microsoft は、パッチ適用済みの CVE の数が約 80 で、そのうち 9 つがクリティカル、うち 5 つは CVSS スコアが 9.8 という、重要度が非常に高い発表をしました。また、パッチ適用済みの CVE のうち 3 つについても 野放し状態だったとして、それぞれをゼロデイパッチに指定しました。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
注:今回取り上げる 問題 は、今月のパッチと、VMware ESXi バージョン 7.0.x 以下で稼動するセキュアブート搭載の Windows Server 2022 の VM についてです。 KB5022842のインストール後に起動しない可能性があります。
本レポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点で説明します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2023-21823
まず、Windows Graphic コンポーネントのリモートコード実行(RCE)の脆弱性について説明します。この脆弱性はリモート攻撃に関するものですが、 攻撃ベクトル はローカルの扱いになっています。おそらくその意味は、これが任意のコード実行(ACE)の脆弱性に近いということを表し、ダウンロードしたファイルをユーザーが操作する必要があるということです。
珍しいことですが、この CVE は Microsoft Office、iOS、Android の各バージョンにも影響します。そのため、今回の更新プログラムの配信は、Windows Update 経由だけでなく Microsoft Store、Google Play、App Store でも行われています。いずれかのストアで自動更新を無効にしている場合は、必ずデバイスで更新していただくようお願いします。
CVE-2023-21715
これは Microsoft Publisher のセキュリティ回避の脆弱性です。具体的には、「Mark-of-the-Web」(MOTW)に関するものです。通常、インターネットからダウンロードされたファイルは内部的にマークされるため、オペレーティングシステムやプログラムはそれらのファイルを信頼してはならないこと、ファイル(あるいはファイル内のマクロ)を自動で実行してはならないことを認識します。具体的に言うと、これまでは Microsoft Publisher が MOTW に対応しておらず、Web からダウンロードしたファイル内のマクロ実行が可能となっていました。それが、この CVE で修正されています。セキュリティ研究者の Haifei Li 氏が、より詳細な分析を X(旧 Twitter)に投稿しています。
CVE-2023-23376
これは Windows 共通ログ・ファイル・システム・ドライバーの特権昇格の脆弱性で、攻撃者によるシステム権限の取得を可能にするものです。現時点でこれ以上の詳細情報はありません。
Microsoft の保護された拡張認証プロトコル
保護された拡張認証プロトコル (PEAP)は、TLS セッション内の 拡張認証プロトコル(EAP)を カプセル化するプロトコルです。EAP はデバイスの認証やネットワークへの接続の認証、さらに Wi-Fi ネットワークの認証にも用いられます。
Windows サーバーにはネットワーク・ポリシー・サーバー(NPS)というオプションのロールを設定でき、NPS は EAP および PEAP でのネットワーク接続リクエストの認証と許可に使用できます。これはデフォルトでは有効になっておらず、 NPS のロールは手動でインストールおよび設定する必要があります。当社の調査によると、NPS サーバーを備えているネットワークはわずか 21% でした。
NPS はネットワークの中心となるべき存在であり、認証リクエストの処理も行うため、セグメンテーションポリシーを適用すると問題が発生する可能性があります。その代わりの緩和策として Microsoft は、プロトコルネゴシエーションで PEAP を許可せず、実装において 2 つのソース を用意することを推奨しています。
今月は合計 6 つの CVE があります。3 つのクリティカルな RCE(スコア 9.8)と、3 つの重要な CVE(スコア 7.5)であり、具体的には RCE、DoS、情報回避に関する CVE です。
CVE 番号 |
深刻度 |
ベーススコア |
影響 |
|---|---|---|---|
重大 |
9.8 |
リモートコードの実行 |
|
重要 |
7.5 |
||
サービス妨害 |
|||
情報開示 |
Windows iSCSI
iSCSI は、SCSI ストレージデバイスとの接続に使用されるプロトコルです。Windows では、マシンに iSCSI Initiator プロセスと Microsoft iSCSI Initiator Serviceが搭載されています。どちらも、デフォルトでは実行されず、手動での実行と設定が必要です。 当社の調査によると、ネットワーク上に Windows iSCSI が実行されているマシンがある割合はわずか 3% です。
今月は、1 つのクリティカルな RCE と、3 つの DoS CVE があります。明示的には言及されていないものの、当社では今回の CVE は Microsoft iSCSI Initiator Serviceに関するものだと考えています。さらに、今回の RCE は 32 ビットマシンでのみ動作すると言われています。
Q: 私のマシンはかわいい動物が描かれた電子バレンタインカードを送信してビジー状態になっているため、パッチ適用や再起動ができません。その間、何らかの形でマシンを保護することはできますか?
iSCSI サービスはデフォルトでは実行されません。したがって、iSCSI サービスを実行するマシンをマッピングし、そのマシン用のセグメンテーションポリシーを作成できるはずです。iSCSI サービスへの多数の受信接続はないと考えられるため、マイクロセグメンテーションを使用して、サービスに対するマシン外部からのアクセスを制限します。これで、マシンの空いている時間を活用して、パッチを適用する時間を作れるはずです。
iSCSI を搭載したマシンをマッピングするためには、TCP ポート 860 および 3260(デフォルトの iSCSI ポート)を介する接続がないか探します。また、 Microsoft iSCSI Initiator Serviceというサービスそのものを探すという方法もあります。
以下の例は、そのための osquery クエリーです。
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
さらに、RCE の脆弱性に関する FAQ にも、DHCP リクエストを iSCSI サービスに送信することで実行できる旨が記載されています。ネットワークを可視化できる環境の場合は、iSCSI マシンが DHCP を正常に受信していることを確認します(UDP ポート 67、68)。またそのような環境ではない場合(または限定的な範囲からの受信の場合)は、セグメンテーションを適用することもできます。これで、何らかの緩和策を講じることができるはずです。
Microsoft SQL Server
今月は Microsoft の SQL Server に 3 つの RCE CVE があります。うち 2 つ(CVSS のベーススコアは 8.8)は、オプション機能の SQL Data Quality Services(DQS)用です。3 つ目の CVE の CVSS スコアは 7.8 です。当社の調査によると、 60% のネットワークに MSSQL Server が存在し、40% には DQS も導入されています。
SQL Server には通常、機密情報が保管されていることから、データ盗難インシデントを防止するためにセグメント化し、アクセス制御の制限をかける必要があります。こうしたポリシーがない場合は、今回が新たに取り入れる良い機会です。既存の MSSQL Server をマッピングし(MSSQL サービスを検索、またはポート 1433、1434 経由の接続を検索)、それが完了したら、既存のトラフィックや、アクセスが必要な他のセグメント(IT からすべて、財務から財務、など)に基づいて、セグメンテーションポリシーを作成します。これは、悪質な行為をしている人や、本来はアクセス権限のないデータベースにアクセスしている人を見つける良い機会にもなります。
OLE と ODBC で見ると、今月は SQL に関連する CVE が他に 7 つあります。これらについては以前のアドバイザリで取り上げましたが、推奨事項に変更はありません(CVE についても同様のようです)。詳しくは、 以前に対応したサービスをご参照ください。
Microsoft PostScript プリンタードライバー
PostScript はページレイアウトの記述に使用されるプログラミング言語です。これをサポートするプリンターは多数あります(主にオフィスやビジネス向けのハイエンドプリンターであり、家庭用ではありません)。
PostScript プリンタードライバーは、PostScript を介してプリンターと通信する方法を認識する、Windows のシステムコンポーネント(pscript5.dll)です。当社の調査によると、PostScript プリンタードライバーがインストールされたマシンが存在するネットワークは約 30% でした。
攻撃者が侵害にプリンターを使用することは よく知られており 、バレンタインカードの印刷は一旦中断してパッチを適用するか、またはプリンターサーバーを保護することをお勧めします。
CVE 番号 |
攻撃ベクトル |
緩和 |
|---|---|---|
認証された攻撃者は、巧妙に細工したファイルを共有プリンターに送信することが可能です。そうすると、 共有サーバーで RCE が生成されます。 |
共有プリンターを制限するか、またはプリンター共有サーバーでセグメンテーションを実行し、許可されていないアクセスを制限します。 また、攻撃者は認証される必要があるため、ユーザーアクセスの制御やチェックで異常なふるまいを検出してアラートを通知することもできます。 |
|
攻撃ベクトルがローカルおよび ACE として見なされています。これは通常、インターネット経由で送られてきた何かをユーザーが開いてコードを実行する可能性があることを示しています。この場合、攻撃者の狙いはおそらく、悪意を持って巧妙に作成した文書を印刷してもらうことです。 |
ダウンロードしたファイルをコントロールしたり電子メールのファイルをスキャンしたりするようにすれば、リスクの緩和につながります。 さらに、この CVE はデスクトップ/ユーザーマシンが対象になっているようです。このようなマシンは通常、重要なサーバーに比べてパッチ適用が容易です。 |
|
FAQ によると、ユーザーは悪性のプリンターにアクセスしなければならないため、最終的にはヒープメモリが漏洩します。 |
プリンターの台数は把握済みのはずなので、「新しい」プリンターへのアクセスを防止するためのセグメンテーションルールを追加すれば、リスクを緩和できます。 |
Microsoft Word
Microsoft Word で RTF ファイルを扱う際のクリティカルな RCE CVE(スコア 9.8)が 1 つあります(バレンタインデーに贈られて嬉しいものはパッチではなく赤い花なのですが)。
今回の場合は、特に巧妙に細工された RTF ファイルを Word で開いた際にコマンド実行がトリガーされる可能性があります。また、プレビューペインと SharePoint にも影響します。Microsoft は次の 2 つの緩和策を公開しています。
以前に対応したサービス
1 月の Patch Tuesday で発表された CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、以前の投稿をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
リモートコードの実行 |
リスト管理へのアクセス許可を持つ認証されたユーザーによるネットワークアクセス |
||
リモートコードの実行 |
OLEDB 経由で悪性の SQL Server に接続すると被害が発生 |
||
リモートコードの実行 |
ODBC 経由で悪性の SQL Server に接続すると被害が発生 |
||
リモートコードの実行 |
ネットワークにアクセスし、認証が必要 |
||
ネットワークにアクセスし、管理者として認証される必要あり |
|||
スプーフィング |
ネットワークアクセスと認証、挿入されたリンクをユーザーがクリックする必要もあり |
||
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。