2023 年 5 月の Patch Tuesday に関する Akamai の見解
それほど昔ではない頃の米国ワシントン州レドモンド...
世はサイバー戦争の時代。ネットワーク管理者は休むことなく新しい Patch Tuesdayを適用していました。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
今回の CVE は 40 だけで、これまでの月よりもはるかに少なく、今月はフォースが私たちに味方しているようです。パッチを適用した CVE のうち 7 つが重大で(そのうちの 1 つは Akamai の Ben Barneaが発見)、他にも PGM と NFS で CVSS スコアが 9.8 のものが 2 つありました。また、パッチ適用済みの 2 つの CVE については 野放し状態だったとして、パッチ適用済みのゼロデイ脆弱性に指定しました。
このレポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。また、パッチ当日、弊社の Twitter アカウントではすぐに確認できる リアルタイムの概要 を発信しています。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
Windows Win32k — CVE-2023-29336
これは、Windows カーネル(ほとんどの場合、GUI およびウィンドウ管理)の Windows サブシステムを処理する Win32k に存在する、ローカルの権限昇格の脆弱性です。Avast のセキュリティ研究者によって検知されたものであり、SYSTEM に権限を昇格させるために使用されます。
セキュアブート — CVE-2023-24932
この脆弱性により、攻撃者はセキュアブートをバイパスすることができます。セキュアブートは、信頼できるソフトウェアのみがマシンの起動に使用されるようにするために用いられます。これは、 BlackLotus によってブートキットのロードに使用されてきました。このパッチ単独では、この脆弱性によるリスクを緩和できません。
管理者はさらに、すべての Windows バックアップと起動可能なメディアを更新し、取り消しや新しいポリシーを適用する必要があります。Microsoft は KB5025885 をリリースし、変更の展開方法に関するガイダンスを提供しました。
Akamai の研究者が発見した脆弱性
Windows MSHTML プラットフォーム — CVE-2023-29324
この脆弱性は、 MapUrlToZone 関数のバイパスです。この関数は特定のパスを誤ってパースし、リモートパスであるにもかかわらずローカルパスとして解決します。
MapUrlToZone は、3 月にパッチが適用された Outlook の重大な脆弱性 に対する緩和策として使用されていましたが、新しい脆弱性が発見されたことにより、その脆弱性が再び悪用される可能性が生じています。
Akamai はこの問題に関する 詳細な記事 を公開しました。
Windows SMB — CVE-2023-24898
QUIC 上で SMB を実行しているサーバーは、サービス妨害攻撃に対して脆弱です。この脆弱性は、攻撃者からの認証がなくても簡単に悪用される可能性があります。QUIC 上の SMB は比較的新しい機能であるため、多数のマシンが脆弱になるとは考えておりません。
Windows ネットワーク・ファイル・システム(NFS)
ネットワーク経由でリモートファイルアクセスを可能にするために Sun Microsystems が開発したネットワークプロトコルが NFS です。Microsoft Windows に実装されており、NFS ロールをサーバーに追加することで NFS サーバーにすることができます。今月は 3 つの脆弱性があり(そのうちの 1 つは重大)、それらによってリモートでコードが実行される可能性があります。
スコープ分析
NFS 機能を使用するためには、これを Windows のサーバーとクライアントに追加する必要があります。これは、Windows Server における ファイルおよびストレージ サービス のサーバーの役割に含まれています。
NFS では通常、ポート 111(Sun RPC の EpMapper ポート:Sun RPC を介して初期バージョンの NFS が実装されています)とポート 2049 が使用されます。さまざまなデータセンターを調査したところ、NFSv4 サーバーの可能性があるのはわずか 0.1% で、Windows を実行しているのは 約半分 のみでした。
一般的な推奨事項
通常は、NFS サーバーをアップグレードして NFS v4.1 を使用できるかどうかを確認することをお勧めしていますが、これは v4.1 が最も安全なバージョンであるためです。ただし今回、このリモートコード実行の脆弱性は NFS v4 のみに影響するため、アップグレードは推奨できません。
代わりに、NFS サーバー周辺にセグメンテーションを適用することをお勧めします。NFS クライアントをより小さなサーバー/ワークステーションのグループに制限(リングフェンス)できるかどうか確認し、NFS サーバーからの送信トラフィックも制限する必要があります。これがサーバーであることから、接続を開始する理由はほとんどないと考えれられます。悪用が成功した場合でも、セグメンテーションによってその影響を抑えることができます。
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|
リモートコードの実行 |
ネットワーク |
|
情報開示 |
||
サービス妨害 |
Windows Lightweight Directory Access Protocol(LDAP)
LDAP は、ディレクトリーサービス/データベースへの接続とクエリーを行うためのオープンソースのプロトコルです。Active Directory のドメインコントローラーには LDAP サーバーが実装されているため、LDAP を使用する既存のプログラムやサーバーは個別のサーバーがなくても既存のドメインコントローラーを使用できます。
今月、LDAP サービスに 1 つの脆弱性が見つかりました。この脆弱性は、パッチ未適用のドメインコントローラーに影響を及ぼします。 CVE-2023-28283 は、認証前に悪用される可能性があるリモートコード実行の脆弱性です。
パッチを適用するためにドメインコントローラーを停止するわけにはいきません。パッチ以外の緩和策はありますか?
いいえ。ドメインコントローラーは、ドメイン内のあらゆる側面に不可欠な要素であるため、通常のネットワーク運用に影響を与えずにドメインコントローラーへのアクセスを制限することは事実上不可能です。認証が必要ないため、 CVE-2023-28283 の追跡さえも難しい場合があります。インシデント対応チームは、サーバーからの応答がない短期間の LDAP セッションを監視できます。これで、悪用の試みを示せる可能性があります。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、以前の投稿をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
|
情報開示 |
ローカルでの認証 |
|
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
サイト所有者権限での認証 |
||
スプーフィング |
サイト作成権限での認証、NTLM ハッシュリークが発生する可能性あり |
||
情報開示 |
認証 |
||
リモートコードの実行 |
ネットワーク |
||
サービス妨害 |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。また、Akamai の Twitter アカウントでリアルタイムの更新情報を確認できます。
