クラウドコンピューティングが必要ですか? 今すぐ始める

2023 年 6 月の Patch Tuesday に関する Akamai の見解

今回の Patch Tuesday では、このプロトコルの重大なリモートコード実行の脆弱性が 3 つ修正されました。それらの脆弱性はどれも、CVSS スコアが 9.8 です。

いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。 

特に、今月の Patch Tuesday に取り組めて良かったと思います。 

今月は 69 の CVE があり、そのうち 6 つが「重大」に指定されました。その重大な CVE のうち 4 つ(PGM および SharePoint)の CVSS スコアは 9.8 でした。

このレポートでは、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。また、パッチ当日、弊社の Twitter アカウントではすぐに確認できる まとめ を発信しています。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。

こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。

このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。

Windows Pragmatic General Multicast(PGM)

Windows Pragmatic General Multicast(PGM)は、信頼性の高い方法を使用して、複数のネットワークメンバー間でパケットを配信するように設計されたプロトコルです。Windows では、このプロトコルの実装は 信頼性の高いマルチキャストと呼ばれています。 今回の Patch Tuesday では、このプロトコルの重大なリモートコード実行の脆弱性が 3 つ修正されました。それらの脆弱性はどれも、CVSS スコアが 9.8 です。

Windows Server 2003 以降、PGM は Windows ソケットに依存してきました。ユーザースペースでは、 wshrm.dll (PGM 用の Windows ソケットヘルパー DLL であり、「rm」は リモートマルチキャストを表す)と呼ばれるライブラリに実装されています。カーネルスペースでは、PGM はドライバー rmcast.sys を通じて実装されています。

CVE に対する Microsoft の緩和策によれば、攻撃者がこの脆弱性を悪用するためには、 Message Queuing サービスが実行されていなければなりません。このサービスはデフォルトではインストールされていないため、コントロールパネルの[Features](機能)画面から追加する必要があります(図 1)。 

Microsoft Message Queue Server 機能とマルチキャストサポートの両方が表示されている Windows Feature ダイアログボックス 図 1:Windows Feature のダイアログボックスを使用して Message Queuing とマルチキャストを有効にする

私たちが調査したところ、 約 50% の環境には Message Queuing サービスがインストールされ実行されているサーバーがあり、PGM がインストールされている環境は 25% であることがわかりました。 ほとんどのデータセンターにはこの機能が有効になっているマシンはほとんどありませんが、私たちは複数のサーバーで PGM を実行している環境に注目しました。

あらゆる脆弱性に対する攻撃の難易度が低いため、可能な限り早く関連するサーバーにパッチを適用することをお勧めします。事業継続性やその他の理由によってパッチを適用できない場合は、 ネットワークセグメンテーション ポリシーを使用して、サービスへのアクセスを最小限に制限することをお勧めします。 

Message Queuing サービスはポート 1801 からアクセスできますが、クライアントの多くはアクセスする必要がないと思われるため (主にエンタープライズアプリケーション自体で使用されるため)、 ポート 1801 と Message Queuing サービスへの任意のネットワークアクセスを制限することを推奨します 許可リストポリシーを使用してセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。

CVE 番号

影響

必要なアクセス権

CVE-2023-29363


リモートコードの実行


ネットワーク

CVE-2023-32014

CVE-2023-32015

Microsoft SharePoint Server

Microsoft SharePoint は、他の Microsoft Office 製品と統合された Web ベースのドキュメント管理およびストレージシステムです。今月は CVE が 4 つありますが、そのうち 1 つだけは重大な権限昇格の脆弱性であり、CVSS スコアは 9.8 でした(CVE-2023-29357)。この脆弱性を悪用することで、攻撃者は JWT トークン を装って認証を迂回し、認証済みユーザーの権限を取得することができます。

私たちの調査では、約 50% の環境に SharePoint サーバーがインストールされたマシンが少なくとも 1 台あることがわかりました。

CVE 番号

影響

必要なアクセス権

CVE-2023-29357


権限の昇格


ネットワーク

CVE-2023-33142

CVE-2023-33130

スプーフィング

CVE-2023-29357

SharePoint サーバーは通常、ドキュメント共有に使用されるため、通常の操作に影響を与えることなく、ユーザーアクセスをセグメント化または制限することが困難になる場合があります。したがって、できるだけ早くサーバーにパッチを適用することをお勧めします。 

ただし、権限昇格の脆弱性については、ユーザーアクセスを強化するか、疑わしいユーザーアクティビティやログオンに対するアラート感度を高めることによって、リスクを多少緩和することができます。

Windows Remote Desktop

Windows Remote Desktop は、Remote Desktop Protocol(RDP)を介した Windows マシン間のリモートデスクトップ接続に使用されます。今月は 2 つの脆弱性があり、どちらもサーバーではなく RDP クライアントに影響するものです。

CVE-2023-29352 を悪用することで、攻撃者は特別に細工された .RDP ファイルを使用してリモートデスクトップ接続中のサーバー証明書の検証を回避できます。ただし、この脆弱性を悪用して影響を及ぼすためには、攻撃者はユーザーに .RDP ファイルを使用させなければなりません。これは、パッチが適用されたもう 1 つの脆弱性( CVE-2023-29362)と連携して機能します。攻撃者はこの脆弱性を悪用することによって、攻撃者によって制御されている RDP サーバーに接続する際に、クライアントでリモートコード実行をトリガーすることができます。

RDP は ラテラルムーブメント(横方向の移動)に利用され得るため、これに関するポリシールールを作成することをお勧めします。ユーザーマシン間の RDP アクセスを制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。それでも、できるだけ早くパッチを適用することをお勧めします。

CVE 番号

影響

必要なアクセス権

CVE-2023-29352

セキュリティ機能のバイパス

ネットワーク

CVE-2023-29362

リモートコードの実行

Microsoft Exchange Server

Microsoft Exchange Server は Microsoft が開発したメールサーバーです。今月は CVE が 2 つしかなく、どちらもリモートサーバーでリモートコードを実行できるようにするものでした。私たちの調査では、約 35% の環境がオンプレミス Exchange Server を使用していることがわかりました。

この 2 つの脆弱性を悪用するためには、攻撃者は認証されなければならないため、異常なユーザーログオンに対する感度を向上させることで、潜在的な悪用のリスクを低減することができます。さらに、 CVE-2023-28310 は PowerShell リモートセッションで機能するため、セグメンテーションを取り入れることでリスクを緩和できる場合があります。 

PowerShell リモートセッションは Windows Remote Management (WinRM)を通じて処理され、これには TCP ポート 5985 および 5986 が使用されます。ほとんどのユーザーはリモート管理機能を必要としないため、許可されたユーザーまたはユーザーマシンのみに WinRM 経由のトラフィックを制限し、アタックサーフェスを減らすことができるはずです。

CVE 番号

影響

必要なアクセス権

CVE-2023-28310

権限の昇格


隣接ネットワーク

CVE-2023-32031

ネットワーク

以前に対応したサービス

今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。

サービス

CVE 番号

影響

必要なアクセス権

Microsoft Dynamics CRM

CVE-2023-24896

スプーフィング

ネットワーク

Windows CryptoAPI

CVE-2023-24937

サービス妨害

ネットワーク

CVE-2023-24938

Microsoft Office

CVE-2023-33146

リモートコードの実行

ローカル

DHCP サーバーサービス

CVE-2023-29355

情報開示

ネットワーク

リモート・プロシージャ・コール・ランタイム

CVE-2023-29369

サービス妨害

ネットワーク

OLE DB と ODBC

CVE-2023-29373

リモートコードの実行

ネットワーク

CVE-2023-29372

iSCSI

CVE-2023-32011

サービス妨害

ネットワーク

CVE-2023-29367

リモートコードの実行

ローカル

このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。また、Akamai の Twitter アカウントでリアルタイムの更新情報を確認できます。