2024 年 5 月の Patch Tuesday に関する Akamai の見解
スター・ウォーズの日は 1 年に 1 回しかありませんが、Patch Tuesday は 12 回もあり、ひどい比率だと思います。
それはさておき、5 月のアップデートには 59 件の CVE があり、重大な脆弱性はそのうち 1 件だけ(Microsoft SharePoint Server の脆弱性)ですが、 野放しで悪用されていた2 件の脆弱性に対するパッチもあります。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-30040 — Windows MSHTML プラットフォーム
MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。
MSHTML プラットフォームには複数の脆弱性が存在します(Akamai の研究者が発見したものも含む)。同プラットフォームは Windows に組み込まれた機能であり、防御メカニズムを回避できるため、攻撃者にとって魅力的な攻撃ターゲットです。
Microsoft Security Response Center(MSRC)によると、今回の脆弱性により、Microsoft 365 および Microsoft Office での OLE 緩和が回避されます。この脆弱性を悪用するために、攻撃者は何らかの形のソーシャルエンジニアリングによって、悪性ファイルをダウンロードして開くようユーザーを誘導する必要があります。悪性ファイルが開かれて脆弱性がトリガーされると、攻撃対象ユーザーのコンテキストでコードが実行される可能性があります。
CVE-2024-30051 — Windows DWM Core ライブラリ
前述の脆弱性とは異なり、これは Windows Desktop Window Manager(DWM)の権限昇格の脆弱性です。DWM は、画面に表示されるウィンドウを管理する役割を担います。Windows Vista 以降、Windows の一部となっており、dwm.exe プロセスで実装されます。
この脆弱性は、 Kasperskyによって検知されました。そして、トロイの木馬の一種である QakBot を使用したキャンペーンで悪用されたことが確認されています。
Microsoft SharePoint は、他の Microsoft Office 製品と統合された Web ベースのドキュメント管理およびストレージシステムです。今月は CVE が 2 件あります。1 つは CVSS スコア 8.8 の重大なリモートコード実行の脆弱性(CVE-2024-30044)で、もう 1 つは CVSS スコア 6.5 の情報漏えいの脆弱性(CVE-2024-30043)です。
CVE-2024-30044 を悪用するために、攻撃者は少なくとも SiteOwner 権限を持つアカウントを使用して SharePoint サーバーに対する認証を行わなければなりません。認証後、細工したファイルをアップロードし、API リクエストを使用してアクセスする必要があります。これにより、ファイルパラメーターのデシリアライゼーションがトリガーされ、SharePoint サーバープロセスにコードインジェクションが実行されます。MSRC によると、この脆弱性は「悪用される可能性が高い」です。つまり、多数の手順を踏まなければならないにもかかわらず、この脆弱性をトリガーするのは難しくないということです。
CVE-2024-30043 を悪用する場合も、攻撃者は認証を行う必要があります。これにより、攻撃者はサーバー上のファイルコンテンツを取得できるようになります。攻撃者が持つユーザー権限に応じて、アクセスできるファイルの範囲が増大します。
私たちの調査では、約 30% の環境に SharePoint サーバーがインストールされたマシンが少なくとも 1 台あることがわかりました。
SharePoint サーバーは通常、ドキュメント共有に使用されるため、通常の操作に影響を与えることなく、ユーザーアクセスをセグメント化または制限することが困難になる場合があります。したがって、できるだけ早くサーバーにパッチを適用することをお勧めします。
ただし、どちらの CVE も、悪用するためにはユーザー認証が必要であるため、ユーザーアクセスを強化するか、不審なユーザーアクティビティやログオンに対するアラート感度を高めることによって、リスクを多少緩和することができます。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
リモートコードの実行 |
ネットワーク |
||
リモートコードの実行 |
ネットワーク(ユーザーは悪性 SQL サーバーに接続する必要があります) |
||
サービス妨害 |
ネットワーク |
||
情報開示 |
ローカル |
||
スプーフィング |
ネットワーク(認証が必要) |
||
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。