2024 年 1 月の Patch Tuesday に関する Akamai の見解
新しい年、新しい CVE。いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。今月の計 48 件の CVE のうち重大に指定されたのは 2 件だけですが、新年のボーナスがあります。今月パッチが適用された CVE のうち 2 件は、Akamai の研究者である Ben Barnea と Tomer Peledによって発見されました。
このブログ記事では、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
Windows HTML プラットフォーム
今月は Windows HTML プラットフォームと呼ばれていますが、この名前は先月のように Windows MSHTML も指していると考えられます。MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。
Akamai の研究者である Ben Barnea が発見した CVE-2024-20652は、セキュリティ機能回避に関する CVSS スコア 7.5 の脆弱性です。この脆弱性自体は MapUrlToZone に存在します。これは通常、URL がマシン上、ネットワーク内、またはインターネット上のリソースを指しているかどうかを判断するために呼び出される関数です。
この脆弱性は、 以前に公開された脆弱性に類似しています。これにより、MapUrlToZone はイントラネット内に URL が存在すると結論付けますが、URL は実際にはインターネットリソースを指します。これは、Outlook の CVE-2023-23397 パッチをバイパスするために悪用される可能性があり、最終的に NTLM 認証情報がリモート(攻撃者が制御)の宛先に漏洩することになります。
Windows Themes
Microsoft Themes は、Windows の機能で、ユーザーがアイコンやフォントの表示方法などの変更を行うことができます。これは、Windows の一部として組み込まれています。
Akamai の研究者である Tomer Peled が発見した CVE-2024-21320は、スプーフィングに関する CVSS スコア 6.5 の脆弱性です。より正確には、認証強制の脆弱性です。なぜなら、被害者に NTLM 認証を開始させるからです。
この脆弱性を引き起こすために必要なのは、ユーザーが Explorer を使用して悪性のテーマファイルを 表示 することだけであり、それ以上のやり取りは必要ありません(テーマファイルを明示的に開く必要もありません)。この脆弱性の詳細は今後のブログ記事でお知らせしますので、しばらくお待ちください。
別の CVE(CVE-2024-20691)は今月、Windows Themes でパッチが適用されました。これは、攻撃者が競合状態に勝利した場合に、ヒープメモリーを攻撃者に開示する可能性がある情報漏洩の脆弱性です。
Windows Hyper-V
Windows Hyper-V は、Windows のネイティブハイパーバイザーです。単一のホストマシン上で仮想マシン(ゲスト)をホストすることができます。仮想化はハードウェアコストの削減を可能にするため、エンタープライズネットワークでは非常に一般的です。
私たちが調査したところ、 90% の環境で Hyper-V が有効になっているマシン(ホスト)が 1 台以上あり、平均 25% の Windows マシンで Hyper-V が有効になっていました。
今月、Hyper-V で 2 つの脆弱性にパッチが適用され、そのうちの 1 つが重大でした。
- CVE-2024-20699 はサービス妨害(DoS)の脆弱性であり、攻撃者は脆弱なゲストマシンでこれをトリガーできます。攻撃者は脆弱なゲストにローカルアクセスできる必要があります。
- CVE-2024-20700 は 重大な リモートコード実行の脆弱性であり、これによって攻撃者は脆弱な Hyper-V マシン上でコードを実行することができます。
緩和
CVE-2024-20700 にはネットワークアクセスが必要であるため、 ネットワークセグメンテーション を利用して Hyper-V ホストへのアクセス範囲を制限し、攻撃のリスクを軽減できる必要があります。これはパッチ適用の代わりとなるものではなく、短期的な解決策として利用することを目的としています。Hyper-V ホストを検知するためには、次の OSQuery を使用します。
Windows Kerberos
Kerberos は、Windows ドメインアーキテクチャのバックボーンとして機能します。これは、NTLM に置き換わるデフォルトの認証メカニズムです。今月、Kerberos の重大な脆弱性( CVE-2024-20674)にパッチが適用されました。
Microsoft の説明によると、この脆弱性はなりすましを可能にするものであり、攻撃者は被害者のクライアントとの間に Machine-In-the-Middle(MITM)チャネルを確立する必要があります。これにより、攻撃者は認証サーバーになりすますことができます。
攻撃チェーン
私たちが把握しているところによると、成功した攻撃チェーンは次のようなものです。
- 攻撃者は被害者上に MITM ポジションを確立します。これは、ARP、LLMNR、DNS ポイズニングなど、さまざまな方法で実行できます。(Akamai の研究者である Ori David は最近、 DHCP DNS スプーフィングによって MITM を実現するための新しいベクトルを発見しました。)
- 攻撃者は被害者に悪性の Kerberos メッセージを送信し、これによって被害者は攻撃者のマシンが Kerberos 認証サーバーであると考えます。
- クライアントが攻撃者のマシンに接続すると、この脆弱性によって攻撃者はクライアントになりすまし、ドメイン内でクライアントの名前でアクションを実行することができます。
緩和
Kerberos は Windows ドメインにとって非常に重要であり、特にこの脆弱性は「悪用の可能性が高い」とマークされているため、システムにできるだけ早くパッチを適用することが重要です。この脆弱性は Kerberos クライアントに影響するため、ドメインコントローラーだけにパッチを適用するだけでは不十分である可能性があります。ドメイン内のすべての Windows マシンにパッチを適用する必要があります。
多くのシステムにパッチを適用すると、特に大規模なドメインでは時間がかかる場合があります。そこで、Akamai はこの脆弱性を悪用するアーティファクトの可能性を検知するために 2 つのことを提案します。
- Windows イベントログを分析して、ネットワーク内の異常なログオン(イベント ID 4624 または 4625)を検索します。そのユーザーがいるべきではないマシンから発生したユーザーログオンイベント、または通常とは異なるログオンタイプ( ネットワーク または バッチ)のユーザーログオンイベントが見つかった場合は、懸念する必要があります。
- Kerberos 認証は、Netlogon の RPC インターフェースによって処理されるため、RPC ETW ログを使用して、ドメインコントローラーではないマシンに Netlogon で接続するクライアントを検索できます。Akamai の RPC 可視性 オープン・ソース・ツールは そのために役立ちます。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
リモートコードの実行 |
ローカル(ユーザーが悪性ファイルを開く必要あり) |
||
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
ネットワーク |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。
