2023 年 1 月の Patch Tuesday に関する Akamai の見解
2023 年 1 月の Patch Tuesday が Microsoft から リリースされました。Akamai Security Research では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。Microsoft は新年を迎えて活発に動いています。1 月にリリースされた CVE の修正パッチの数は、昨年 12 月に比べて 2 倍近くに上っています。Akamai Security Research も負けていません。1 月にパッチがリリースされた脆弱性のうち、2 件は Akamai が発見したものでした。以下のセクションで 簡単な説明 を記載しています。
このレポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、Akamai が発見したセキュリティ脆弱性について、およびバグ修正パッチがリリースされた次のプロトコル/サービスを取り上げています。
Akamai が発見したセキュリティ脆弱性
以下の 2 つの脆弱性は、Akamai が発見し、責任を持って Microsoft に報告した結果、1 月に修正パッチがリリースされました。皆さんのシステムにパッチを適用できるように、この 2 つの脆弱性の詳細については改めてお知らせしますが、ここでは簡単な説明にとどめます。
SMB Witness サービスのリモート EoP
CVE-2023-21549、CVSS スコア 8.8
この脆弱性も Akamai の RPC ツールキットで発見したものです。 SMB Service Witness Protocol は、SMB のクラスター化ファイルサーバーで使用されます。
LSM ローカル EoP
CVE-2023-21771、CVSS スコア 7.0
これは、LSM RPC インターフェースに含まれる もう 1 つの脆弱性 です。この脆弱性はローカルでしかトリガーできません。悪用するためには攻撃者が競合状態に勝つ必要がありますが、勝つのは容易です。
脆弱性が見つかった機能はすべての Windows ビルドに含まれているわけではありません。影響を受けるのは次のバージョンのみです。
Windows Server 2022
Windows 10 バージョン 21H2 および 22H2
Windows 11 バージョン 21H2 および 22H2
Windows Layer 2 Tunneling Protocol
Layer 2 Tunneling Protocol(L2TP)は、VPN をサポートするためのトンネリングプロトコルです。Windows では、SSTP および PPP( こちらを参照)と同様に、Remote Access Server(RAS)の一部です。VPN 同様、リモートアクセスは、リモートクライアントが LAN に接続できるようにする Windows Server のロールです。サーバーロールはアクティブに追加する必要があります。
1 月、このサービスに 5 つの重大な脆弱性が見つかりました。CVSS スコアはいずれも 8.1 であり、リモートコードの実行につながります。
このうちの 4 つの脆弱性(CVE-2023-21546、 CVE-2023-21679、 CVE-2023-21555 および CVE-2023-21556)については、トリガーするためには攻撃者が競合状態に勝つ必要があります。Microsoft Security Response Center(MSRC)によると、残り 1 つの CVE-2023-21543に関しては、競合状態に勝つ必要はないものの、悪用するためには追加の手順を実行する必要があります。
VPN サーバーでダウンタイムが発生するのは許されません。パッチ以外の緩和策はありますか?
L2TP は VPN サーバーのサポートに使用されるため、インターネットアクセスを制限することは事実上不可能です。そのため、パッチ以外の緩和策はあまりありません。たとえば、すべての従業員が米国にいる場合などは、GeoIP に基づいて、米国以外のジオロケーションからのアクセスを制限できますが、このような作業も決して簡単ではありません。
または、今回発見された CVE はいずれも悪用するためには競合状態に勝つか、追加の手順を実行する必要があるため、悪用されればネットワークアクティビティが急増すると考えられます。そのため、ネットワークアクティビティを監視することで、悪用の可能性を検知できる場合があります。
Windows Lightweight Directory Access Protocol
Lightweight Directory Access Protocol(LDAP)は、ディレクトリーサービス/データベースへの接続とクエリーを行うためのオープンソースのプロトコルです。Active Directory のドメインコントローラーには LDAP サーバーが実装されているため、LDAP を使用する既存のプログラムやサーバーは個別のサーバーがなくても既存の Active Directory を使用できます。
1 月、LDAP サービスに 2 つの脆弱性が見つかりました。この脆弱性は、パッチ未適用のドメインコントローラーに影響を及ぼします。 CVE-2023-21557 は、認証を行うことなくサービス妨害(DoS)攻撃を実行できる脆弱性です。MSRC の勧告によると、この脆弱性が悪用されると情報漏えいを招く可能性があるとのことですが、どのようなデータが漏えいするかは不明です。 CVE-2023-21676 はリモートコード実行の脆弱性です。この攻撃を行うためには認証が必要です。
パッチを適用するためにドメインコントローラーを停止するわけにはいきません。パッチ以外の緩和策はありますか?
いいえ。ドメインコントローラーは、ドメイン内のあらゆる側面に不可欠な要素であるため、通常のネットワーク運用に影響を与えずにドメインコントローラーへのアクセスを制限することは事実上不可能です。 CVE-2023-21676 は、脆弱性を悪用するために認証を行う必要があるため、IR チームが攻撃者を追跡できる可能性があります(ただし、事前予防にはつながりません)。
Microsoft Cryptographic Services
Cryptographic Services という呼び名は誤解を招く可能性があります。オペレーティングシステムには多数の暗号化サービスが含まれているためです(本来、Cryptographic Services は文字通りの暗号化サービスである CryptSvc を指すものですが、今回リリースされたパッチは CryptSvc ファイル向けのものではありませんでした)。システムのどの部分に影響を及ぼすかについては、1 つの CVE についてのみ明らかになっており、 CVE-2023-21561 が CSRSSに影響を及ぼします。
1 月には、6 つの CVE が見つかりました。3 つはローカル権限昇格の脆弱性で、残りの 3 つはローカル情報開示の脆弱性です。これらの脆弱性はすべての Windows マシン(サーバーおよびデスクトップ)に影響を及ぼすため、パッチ適用が不可欠です。
CVE 番号 |
影響 |
|---|---|
| CVE-2023-21561 | AppContainer から SYSTEM への権限の昇格 |
| CVE-2023-21730 | SYSTEM への権限の昇格 |
| CVE-2023-21551 | |
| CVE-2023-21559 | Windows の暗号化シークレットの開示 |
| CVE-2023-21540 | |
| CVE-2023-21550 |
以前に対応したサービス
1 月の Patch Tuesday で発表された CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、以前の投稿をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
認証バイパス |
ネットワーク |
||
リモートコードの実行 |
サイトメンバー以上の権限で認証 |
||
ページ作成権限で認証 |
|||
リモートコードの実行 |
ネットワーク |
||
情報開示 |
ネットワーク |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。
