2023 年 11 月の Patch Tuesday に関する Akamai の見解
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
ハロウィーンが過ぎ、ハヌカーやクリスマスまではまだ時間があるこの時期に、私たちは何を楽しみにすればよいのでしょうか。もちろん、パッチノートを読むことです!今月パッチが適用された 57 の CVE のうち、重大なものは 3 つだけです。最高の CVE 評価は、そのうちの 2 つで 9.8 でした。また、報告された脆弱性のうち 3 つは 野放し状態で悪用されていました。
このレポートでは、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2023-36025 — Windows SmartScreen(CVSS 8.8)
これはセキュリティ回避の脆弱性であり、インターネットのショートカットファイル(.URL)またはそのファイルを参照するハイパーリンクを開くときに、SmartScreen セキュリティ警告をスキップします。この脆弱性をトリガーするためには、ショートカットファイルを特別に作成する必要があります。SmartScreen 回避の脆弱性が攻撃者によって積極的に悪用されたのは、これが初めてではありません。これまでに、Magniber ランサムウェアによって Windows SmartScreen 回避の脆弱性が悪用されたことを Google の Threat Analysis Group(Google TAG)が検知し、報告しています。
CVE-2023-36036 — Windows Cloud Files Mini Filter ドライバー(CVSS 7.8)
これは、攻撃者が SYSTEM 権限を取得することを可能にする権限昇格の脆弱性です。クラウド・ファイル・ミニ・フィルターはクラウド同期エンジンの一部であり、WinAPI にアクセスしてクラウドベースのファイルシステムと同期し連携できるようにします。フィルタードライバーは cldflt.sys ファイルで実装されています。
CVE-2023-36033 — Windows DWM Core ライブラリ(CVSS 7.8)
これも権限昇格の脆弱性ですが、今回は Windows Desktop Window Manager(DWM)に存在します。これは、画面に表示されるウィンドウを管理する役割を担います。DWM は Windows Vista 以降の Windows に搭載されており、dwm.exe プロセスで実行されます。この脆弱性は、特にそのプロセスにロードされるコアライブラリーである dwmcore.dll に存在します。
Windows Pragmatic General Multicast
Windows Pragmatic General Multicast(PGM)は、信頼性の高い方法を使用して、複数のネットワークメンバーにパケットを配信するように設計されたプロトコルです。Windows では、このプロトコルの実装は 信頼性の高いマルチキャストプログラミングと呼ばれています。 今回の Patch Tuesday では、このプロトコルの重大なリモートコード実行の脆弱性(CVSS スコア 9.8)が修正されました。
Windows Server 2003 以降、PGM は Windows ソケットに依存してきました。ユーザースペースでは、wshrm.dll (PGM 用の Windows ソケットヘルパー DLL であり、「rm」は リモートマルチキャストを表す)と呼ばれるライブラリに実装されています。カーネルスペースでは、PGM はドライバー rmcast.sys を通じて実装されています。
この CVE に対する Microsoft の緩和策によれば、攻撃者がこの脆弱性を悪用するためには、Message Queuing サービスが実行されていなければなりません。このサービスはデフォルトではインストールされていないため、コントロールパネルの[Features](機能)画面から追加する必要があります。
私たちが調査したところ、 約 50% の環境には Message Queuing サービスがインストールされ実行されているサーバーがあり、PGM がインストールされているサーバーがある環境は 25% であることがわかりました。ほとんどのデータセンターには Message Queuing サービスが有効になっているマシンはほとんどありませんが、私たちは複数のサーバーで PGM を実行している環境に注目しました。
あらゆる脆弱性に対する攻撃の難易度が低いため、可能な限り早く関連するサーバーにパッチを適用することをお勧めします。事業継続性やその他の理由によってパッチを適用できない場合は、少なくとも ネットワークセグメンテーション ポリシーを使用して当該サービスへのアクセスを制限することが推奨されます。
Message Queuing サービスはポート 1801 からアクセスできますが、クライアントの多くはアクセスする可能性がないため (主にエンタープライズアプリケーション自体で使用されるため)、 ポート 1801 と MSMQ サービスへの任意のネットワークアクセスを制限することを推奨します。許可リストポリシーを使用してセグメント化することで、実際に必要なマシンのみにアクセスを許可してください。
Microsoft Protected Extensible Authentication Protocol
保護された拡張認証プロトコル (PEAP)は、TLS セッション内の 拡張認証プロトコル(EAP)を カプセル化するプロトコルです。EAP はデバイスの認証やネットワークへの接続の認証、さらに Wi-Fi ネットワークの認証にも用いられます。
Windows サーバーにはネットワーク・ポリシー・サーバー(NPS)というオプションのロールを設定でき、NPS は EAP および PEAP でのネットワーク接続リクエストの認証と許可に使用できます。これはデフォルトでは有効になっておらず、 NPS のロールは手動でインストールおよび設定する必要があります。当社の調査によると、NPS サーバーを備えているネットワークはわずか 21% でした。
NPS はネットワークの中心となるべき存在であり、認証リクエストの処理も行うことになっているため、セグメンテーションポリシーを適用すると問題が発生する可能性があります。Microsoft はその代わりの緩和策としてプロトコルネゴシエーションで PEAP をブロックすることが考えられると述べており、それを実行するための 2 つ のソース を提供しています。
今月は、重大なリモートコード実行の脆弱性(CVE-2023-36028、スコア 9.8)にパッチが適用されました。
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
リモートコードの実行 |
LAN アクセス、認証 |
||
リモートコードの実行 |
LAN アクセス、認証 |
||
スプーフィング |
|||
サービス妨害 |
ネットワーク |
||
リモートコードの実行 |
ネットワーク、ユーザーに悪性サーバーへの接続を強制 |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。
