11 月の Patch Tuesday に関する Akamai の見解
2022 年 11 月の Patch Tuesday が Microsoft から リリースされました。Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。本レポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて独自の視点で説明します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
本レポートで説明する、影響を受ける各サービスについて、Akamai ではパッチ適用が不可能な場合の監視と緩和のための推奨事項を提供します。 もちろん、パッチ適用に勝る緩和策はないため、できる限りシステムにパッチを適用し、最新の状態を維持してください。
警告:一部ユーザーの報告によると、11 月のパッチの適用後にドメインコントローラーへの接続で問題が発生しています。 これは、デフォルトの暗号値を変更する、CVE-2022-37966 の修正が関係していると考えられます(詳細は下記)。また、Kerberos と Netlogon の他のパッチと関係している可能性もあります。
Windows スクリプト言語
Windows スクリプト言語とは、VBScript や JavaScript など、Windows 内に導入されている複数のスクリプト言語のことです。今回のリリースで、Microsoft は Jscript と Chakra という 2 つのスクリプトエンジンにパッチを適用しました。
JScript は Microsoft の ECMAScript実装です。これは、JavaScript をサポートし、Internet Explorer で使用されている同じ標準です。Chakra も JScript から派生した JavaScript エンジンであり、Microsoft Edge Legacy で使用されます(Edge の新バージョンは Chromium ベース)。いずれも DLL として実装され、jscript9.dll および chakra.dll というわかりやすい名称が付けられています。
今回の更新では、これらのスクリプトエンジンに影響する 2 つの重大なリモートコード実行の脆弱性を修正しています。
1 つ目の CVE-2022-41128は、JScript9 スクリプト言語に影響します。CVSS スコアは 8.8 で、重大な脆弱性と見なされています。攻撃の複雑度が低いだけでなく、 野放し状態で悪用されています。攻撃者は、この脆弱性を確実に利用するために、専用に仕立てた共有サーバーや Web サイトをホストする必要があります。その後、影響を受けるバージョンの Windows を使用しているユーザーを、その専用サーバーにアクセスするように誘導します。
2 つ目の脆弱性は CVE-2022-41118で、JScript9 と Chakra の両方に影響します。CVSS スコアは 7.5 で、こちらも重大な脆弱性と見なされています。こちらの攻撃は複雑度が高く、それに対応可能な攻撃者のみが悪用できます。攻撃の流れとユーザーのインタラクションは CVE-2022-41128 と同様です。
一般的な推奨事項
JScript および Chakra エンジンは、Internet Explorer および Edge Legacy 向けに開発されたものです。新世代の Web ブラウザ(および Chromium ベースの Edge)が登場しているため、そのいずれかを使用することをお勧めします。ただし、これらのエンジンは他のソフトウェアでも同様に使用することができるため、脆弱性からマシンを保護する唯一の方法はパッチの適用であるということを理解することが重要です。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
ネットワーク |
|
リモートコードの実行 |
ネットワーク |
Windows Kerberos
Kerberos は、Windows ドメインアーキテクチャのバックボーンとして機能します。これは、NTLM に置き換わるデフォルトの認証メカニズムです。今回は 2 つの脆弱性が修正されています。いずれも権限の昇格に使用されるものであり、CVSS スコアはそれぞれ 8.1 と 7.2 です。
パッチ修正とは別に、システム管理者には 2 つの KB(KB5020805、 KB5021131)に目を通すことが推奨されます。これらは Microsoft がリリースした KB で、レジストリで必要な具体的な変更を解説しています。
影響
攻撃者は、この脆弱性を利用することで管理者権限を得られます。
脆弱性の場所は?
CVE-2022-37966
このパッチ以前、Kerberos ネゴシエーションのデフォルトの暗号化は RC4-MD5 でした。RC4 はストリーム暗号を用いた暗号化です。つまり、プレーンテキストを暗号ストリームで XOR 化することで、暗号テキストを作成します。この暗号化は、John the Ripper などのツールを用いてオフラインで容易にクラッキングできるため、暗号強度は低いと言えます。このデフォルト設定に脆弱性があります。
攻撃者は Active Directory とのネゴシエーションにおいて、Kerberos のデフォルト認証を使用するように巧妙に作成したリクエストを送信します。リクエストが成功すると、攻撃者は Kerberos セッションキーを取得し、クラッキングにより権限昇格が可能になります。
この Kerberos ネゴシエーションのデフォルト設定が、レジストリキーの ms-DS-SupportedEncryptionType によって修正され、デフォルトで AES 暗号化(0x27)に設定されるようになります。
CVE-2022-37967
この脆弱性は、Kerberos の特権属性証明(PAC)拡張機能にあります。基本的に、PAC は、UserId、GroupsIDs、AccountDomainId、 その他など、さまざまなフィールドの情報「コンテナ」です。PAC 情報は、ドメインコントローラーによって Kerberos チケットに追加されます。
Microsoft が CVE 用にリリースした KB によると、この脆弱性を利用することで、サーバーに送信される PAC 署名の違反の検証を回避できると考えられます。つまり、無効または欠落した署名とともに送信される PAC 構造が、検証プロセスを回避し、権限昇格を得ることになります。
今回のパッチは、CVE-2022-37067 向けの段階的リリースの第 1 段階です。CVE-2022-37967 の修正が含まれていますが、これはデフォルトでは無効になっています。次の段階は 2022 年 12 月 13 日~2023 年 10 月 10 日を予定しており、それぞれ監査を有効にし、部分強化を適用するものとなります。
CVE-2022-37967 については、パッチでレジストリキーの KrbtgtFullPacSignature に値 2 を追加します。この値により、システムでの PAC 監査が有効になり、システム管理者はこの監査を使用して異常を追跡できます。
KrbtgtFullPacSignature キーには、この脆弱性に対処するために、不正または欠落した PAC 署名を強制または拒否するオプションがあります。
適用範囲
Kerberos は、すべての Windows ドメインアーキテクチャの一部です。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
権限の昇格 |
ネットワーク |
|
権限の昇格 |
ネットワーク |
Netlogon RPC
この Netlogon リモートプロトコルは、Windows ドメイン環境でのユーザーおよびマシン認証に使用されるプロトコルです。ドメインコントローラー間の同期にも使用されます。Windows ドメインネットワークできわめて広範囲に普及しており、そのため、 CVE-2022-38023 はほとんどの環境に影響を及ぼします。
影響
攻撃者は、この脆弱性を利用することで、そのドメインの管理者権限を取得できます。
脆弱性の場所は?
Microsoft が CVE 用にリリースした KB によると、 RPC Sealing ではなく RPC Signing との Netlogon 接続が発生する場合に、この CVE が関係してくるようです。RPC Signing では、RPC メッセージに署名するのは送信者のみです。受信者はメッセージの内容を署名と照合し、整合性を検証します。一方、RPC Sealing ではメッセージ全体を暗号化します。
前述の関連するイベントログ(システム・イベント・ログのイベント ID 5838~5841)に基づくと、この脆弱性は特に RC4-HMAC 暗号化を処理する際の署名の不適切な処理または検証に関するものと考えられます。
一般的な推奨事項
今回のパッチは段階的リリースの第 1 段階です。CVE を修正するとともに、RPC Sealing を強制する RequireSeal という新しいレジストリキーも導入されます。第 1 段階の一部として、レジストリキーがデフォルトで互換モードに設定されますが、ドメイン管理者はそれを無効化できます。互換モードでは、ドメインコントローラーでサードパーティクライアントからの脆弱な接続が許可されますが、Windows マシンとドメインコントローラーで RPC Sealing を強制します。
2023 年 4 月 11 日と 7 月 11 日に予定されている次の段階では、強制を無効にするオプションと互換モードが順次廃止されます。
ドメイン管理者にお勧めするのは、パッチ適用後、新しい強制オプションを無効にせず、RPC Signing を使用するクライアントのアップグレードに取り組むことです。これらの問題を直ちに解決できず、RPC Signing を許可する必要がある場合は、最低でも、既存の RejectMD5Clients レジストリキーを使用してより脆弱な md5 署名を無効にすることをお勧めします。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
権限の昇格 |
ネットワーク |
以前に対応したサービス
今月の Patch Tuesday では、他にも多くの CVE に対応していますが、ここではそのすべてを紹介しきれません。その CVE のいくつかは、過去の Patch Tuesday で分析したサービスや機能のものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、以前の投稿をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
サイトメンバーとして認証 |
||
スプーフィング |
認証とページ作成権限 |
||
リモートコードの実行 |
ネットワーク |
||
サービス妨害 |
ネットワーク |
||
リモートコードの実行 |
悪性サーバーにアクセスするユーザー |
||
情報開示 |
管理者認証情報で認証 |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。