2023 年 7 月の Patch Tuesday に関する Akamai の見解

CVE-2023-32046 — Windows MSHTML プラットフォーム（CVSS 7.8）

この MSHTML プラットフォームの脆弱性により、攻撃者は攻撃の被害者であるユーザーの権限を取得できます。MSHTML は Microsoft のブラウザーエンジンであり、パッチノートには、ユーザーが特別に細工されたファイルを開くか、そのファイルをホストしている悪性の Web サイトを参照する必要があると記載されているため、おそらく何らかの Web リソース（HTML ファイルまたは JavaScript ファイル）である可能性があります。いずれにせよ、攻撃者がこの脆弱性を悪用するためには、ユーザーが何らかのソーシャルエンジニアリングに反応し、悪性のファイルを開く必要があります。MSHTML には、今月パッチが適用された CVE が 2 つ以上あります（野放し状態で悪用されていることは知られていません）。詳細については、 この記事の後半をご覧ください。

CVE-2023-32049 — Windows SmartScreen（CVSS 8.8）

これはセキュリティ回避の脆弱性であり、インターネットからダウンロードされたファイルやその他の安全でないファイルを開く際に SmartScreen セキュリティ警告をスキップします。SmartScreen 回避の脆弱性が攻撃者によって積極的に悪用されたのは、これが初めてではありません。これまでに、 Magniber ランサムウェアが同様の脆弱性を悪用 したことを Google の脅威分析グループ（Google TAG）が検知し、報告しています。

CVE-2023-36874 — Windows Error Reporting Service（CVSS 7.8）

これは権限昇格の脆弱性であり、攻撃者はすでにマシンへのローカルアクセス権を持っている必要があります。このノートによれば、攻撃者はローカルマシン上にフォルダーとパフォーマンストレースを作成できる必要があり、通常では使用できない制限付きのユーザー権限が必要です。この CVE は Google TAGからも報告されています。

CVE-2023-35311 — Microsoft Outlook（CVSS 8.8）

これは、今回 Outlook で発見されたもう 1 つのセキュリティ回避の脆弱性です。この脆弱性により、攻撃者はハイパーリンクをクリックしたときに Outlook のセキュリティ通知を回避できます。

CVE-2023-36884 — Office および Windows HTML（CVSS 8.3）

7 月 11 日、Microsoft は野放し状態で悪用されているリモートコード実行の脆弱性に関する勧告をリリースしました。この脆弱性は、複数の Microsoft 製品に影響を与えるものであり、被害者に悪性のドキュメントを開かせることを土台としています。

フィッシングキャンペーンにおいて RomCom の攻撃者によって悪用 されており、たとえばリトアニアで最近開催された NATO サミットの参加者を対象としたキャンペーンで悪用されました。この脆弱性は現時点では修正されていませんが、いくつかの 緩和策 があります。

Windows MSHTML プラットフォーム

MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、COM インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer および Microsoft Edge の Internet Explorer モードでも使用されます。野放しになっている権限昇格の脆弱性のほかに（「野放し状態で悪用されている脆弱性」 セクションを参照）、セキュリティ回避の脆弱性はさらに 2 つ存在します（ CVE-2023-35336 および CVE-2023-35308。）その 2 つの脆弱性に関するノートによると、MSHTML は特定の URL に関して セキュリティゾーン を検証できず、たとえば外部 URL をローカル URL と間違える可能性があります。Akamai はセキュリティゾーンに関して素人ではなく、弊社の Ben Barnea は 同様の脆弱性を MapUrlToZone（URL がインターネットパスや（マシン／ネットワークへの）ローカルパスなどであるかを判断するためによく使用される関数）で発見しています。

Windows Routing and Remote Access Service（RRAS）

Routing and Remote Access Service （RRAS）は、オペレーティングシステムをルーターとして動作させる Windows サービスであり、VPN またはダイヤルアップを使用したサイト間接続を可能にします。今月、このサービスに 3 つの重大な脆弱性が発見され、いずれも CVSS スコアは 9.8 でした。パッチノートには、特別に細工されたパケットがサーバーに送信されてリモートコード実行をトリガーすることを除いて、それほど多くのことは記されていません。

RRAS はすべての Windows サーバーで使用できるわけではなく、リモートアクセス・ロールの一部として提供されており、特別にインストールする必要があります。 私たちの調査では、監視対象の環境の約 15% で リモートアクセス ・ロールがインストールされた Windows サーバーが使用されていることがわかりました。

リモート・プロシージャ・コール・ランタイム

今月は 14 の異なる RPC ランタイムの CVE にパッチが適用され、そのほとんどがサービス拒否攻撃に悪用される CVE でした。1 つ（CVE-2023-35300）はリモートコード実行の脆弱性ですが、パッチノートにはそれ以外の情報はあまり記載されていません。弊社でこのパッチをリバースしたところ、Microsoft Offensive Research & Security Engineering（MORSE）チームが NDR アンマーシャリングエンジンに対して膨大な量の作業を行ったことが伺えました。MS-RPC については過去の記事で詳しく説明しておりますので、詳細を知りたい場合は、 RPC ツールキットをご覧ください。