2024 年 2 月の Patch Tuesday に関する Akamai の見解
バラの花束はすてきなギフトですが、私たちの仕事ではパッチの方が喜ばれます。いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。今月の 73 件の CVE のうち 5 件が重大ですが、他にも野放し状態で悪用されていた CVE が 2 件あります。それは、 CVE-2024-21351 (Windows SmartScreen の脆弱性)と CVE-2024-21412 (インターネット・ショートカット・ファイルの脆弱性)です。どちらの脆弱性もセキュリティバイパスであり、攻撃者はこれを利用することで潜在的に悪性であるファイルへのアクセスをユーザーに警告するセキュリティチェックを回避できます。
このブログ記事では、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-21351 — Windows SmartScreen(CVSS 7.6)
これは、セキュリティバイパスの脆弱性で、Web からダウンロードされた潜在的に悪性であるファイルを開くときに SmartScreen セキュリティ警告をスキップします。このシナリオでは、Windows SmartScreen は警告画面を表示する役割を担います。この脆弱性により、攻撃者が特定の方法でファイルを作成した場合、Windows SmartScreen がファイルのチェックに失敗し、警告画面が回避されます。CVE ノートによると、この脆弱性を介して SmartScreen プロセスにコードを挿入することも可能です。
SmartScreen 回避の脆弱性が攻撃者によって積極的に悪用されたのは、これが初めてではありません。 2023 年 11 月のパッチ にも、積極的に悪用されたと報告されたバイパス脆弱性の修正が含まれていました。
CVE-2024-21412 — インターネット・ショートカット・ファイル(CVSS 8.1)
インターネット・ショートカット・ファイルとは、インターネットアドレスを指す .url ファイルです。この脆弱性は、上記の SmartScreen の CVE と同様に、そのファイルをダブルクリックしたときに発生するはずのセキュリティチェックを一部回避します(実際には、2023 年 11 月の SmartScreen の CVE はインターネット・ショートカット・ファイルに対応したものであり、この CVE はそのパッチをバイパスします)。この脆弱性は、特別なショートカットファイルが作成され、被害者がそのファイルをクリックすることでトリガーされます。これは、Water Hydra のキャンペーンの一部として使用されました。詳細については、X(旧 Twitter)での Peter Girnus 氏の投稿 か、 Trend Micro のブログを参照してください。
Windows Exchange Server と Microsoft Outlook
Exchange Server と Outlook は別々の製品ですが、これらは非常に密接に関係しているため(前者はメールサーバー、後者はメールクライアント)、まとめて説明します。Outlook では 3 件の CVE にパッチが適用され、そのうち 1 件は重大な CVE でした。また、Exchange Server にも重大な CVE が 1 件ありました。
CVE-2024-21413 は、Outlook の重大なリモートコード実行の脆弱性です。Microsoft のメモによると、攻撃者はこの脆弱性を利用することで Office の保護ビュー 回避し、読み取り専用ではなく編集モードでドキュメントを開くことができます。これにより、セキュリティメカニズムがバイパスされ、認証情報が漏えいし、それがリモートコード実行に使用される可能性があります。この脆弱性は、Check Point Research の Haifei Li 氏 が発見しました。こちらの ブログ記事で詳しく説明されています。
CVE-2024-21410 は、もう 1 つの重大なリモートコード実行の脆弱性で、Windows Exchange Server に存在します。この脆弱性では、攻撃者は何らかの Machine-In-the-Middle(MITM)チャネルを確立して認証情報を Exchange Server にリレーし、被害者として認証することを要求します。そうすると、攻撃者は被害者に代わって特権的なアクションを実行することができます。Microsoft は、このリスクを緩和するために 認証の拡張保護 を有効化することを推奨していますが、パッチの適用も推奨しています。Akamai の観測結果では、 27% のエンタープライズネットワークがオンプレミスの Exchange サーバーを使用していました。
CVE 番号 |
コンポーネント |
影響 |
必要なアクセス権 |
|---|---|---|---|
Windows Exchange Server |
権限の昇格 |
ネットワーク |
|
Microsoft Outlook |
リモートコードの実行 |
||
権限の昇格 |
ローカル |
Windows OLE と ODBC
Windows OLE と ODBC はどちらも、データ利用者とデータソース間の接続を抽象化するように設計された API 仕様です。ODBC は古く、手順型ですが、OLE は新しく、コンポーネント・オブジェクト・モデル(COM)を使用して実装され、非リレーショナルデータベースもサポートしています。
今月は 18 件の CVE にパッチが適用されており、そのうち 16 件が OLE 関連、2 件が ODBC 関連でした。どの CVE も、データベースクライアントをターゲットとするリモートコード実行に関するものです。攻撃者は、自身の制御下にある悪性のデータベースに接続するように被害者をおびきよせ、そこから特別に細工されたパケットを送信することで、被害者のクライアントでリモートコード実行をトリガーすることができます。ほぼすべての CVE は、CVSS スコアが 8.8 です。
考え得る緩和策
セグメンテーションを使用することで、すべての脆弱性の影響を緩和できます。組織内の既知の SQL サーバーの許可リストを作成すれば、外部の未知のサーバーへの接続が確立されないため、前述の攻撃チェーンが防止されます。
CVE 番号 |
コンポーネント |
|---|---|
Microsoft WDAC ODBC ドライバー |
|
Microsoft ODBC ドライバー |
|
Windows OLE |
|
SQL サーバー用 Microsoft WDAC OLE DB プロバイダー |
|
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
権限の昇格 |
ローカル |
||
任意コード実行 |
|||
リモートコードの実行 |
ネットワーク |
||
サービス妨害 |
ネットワーク |
||
サービス妨害 |
ネットワーク |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。
