2024 年 11 月の Patch Tuesday に関する Akamai の見解

CVE-2024-43451 — Windows MSHTML プラットフォーム（CVSS 6.5）

CVE ノートには、MSHTML プラットフォームが影響を受けるコンポーネントだったと記載されています。この点について説明しましょう。

MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル（COM）インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。

過去には、MSHTML プラットフォームに複数の脆弱性が存在していました（Akamai の研究者が発見したものも含む）。同プラットフォームは、防御メカニズムの回避が可能であり、また Windows に組み込まれた機能であるため、攻撃者にとって魅力的な攻撃ターゲットになっています。

今回は、特別に細工されたファイルがユーザーによって開かれたときに NTLMv2 ハッシュリークが発生する可能性があるようです。NTLM は Windows の認証プロトコルの 1 つであり、パスワードハッシュのリークは認証リレー攻撃の引き金になり得ます。また、パスワードハッシュがオフラインクラッキングで使用されるとユーザーのクリアテキストパスワードが取得される恐れもあります。

VMSwitch は、Microsoft が提供するハイパーバイザー、Hyper-V のコンポーネントです。Hyper-V は、仮想マシンの実行で使用されるだけでなく、カーネルを超えた特権的で安全なハイパーバイザーを提供することで、Windows の新しいバージョンのセキュリティにおいて重要な役割を果たします。

VMSwitch は、Hyper-V 上でホストされている仮想マシン（VM）間のネットワークトラフィックを処理するドライバーです。準仮想化されたコンポーネントであり、Hyper-V のゲストとやり取りする際はホスト上で直接実行されます。そのため、ゲストからホストへの攻撃を可能にする利益の出やすい標的として研究されています。

驚くなかれ、 CVE-2024-43625 は、まさにそれに該当します。Hyper-V のゲスト上で実行している攻撃者は、特別に細工されたネットワーク要求を VMSwitch に送信します。その結果、 ユーズ・アフター・フリー の脆弱性が発生し、ホストのコンテキストでコードを実行するために悪用される可能性があります。Hyper-V が Microsoft Azure のハイパーバイザーであることも考慮すると、利益の出やすい標的としての魅力はさらに高まるため、この脆弱性の影響はかなり大きいと言えます。

VMSwitch が狙われるのは初めてではありません。実際、 2021 年には Akamai 自身が調査して 重大な 9.9 RCE 脆弱性を発見しました。当社の調査結果については その年の BlackHat でのプレゼンテーションをご参照ください。

この重大な脆弱性のほか、Hyper-V に影響を与える CVE がさらに 2 つ存在します。

Hyper-V の使用を検知するためには、次の osquery を実行します。

当社の調査では、93% の環境で Hyper-V が有効になっているマシンが存在し、平均してネットワークの 25% を占めていました。

Kerberos は、Windows ドメインアーキテクチャのバックボーンとして機能します。これは、NTLM に置き換わるデフォルトの認証メカニズムです。今月、Kerberos の重大な脆弱性（ CVE-2024-43639 （CVSS 9.8）にパッチが適用されました。

悪性の攻撃が成功すると、リモートでコードが実行され、認証も不要になります。さらに、これは暗号化の脆弱性でもあることから、ドメインへの初回ログオン時に発生する Kerberos の事前認証プロセスが攻撃対象となる可能性があります。つまり、攻撃は主にドメインコントローラーに集中すると考えられますが、場合によっては他の Windows マシンを標的にするように調整されるかもしれません。実際に、チケット解析の実装に暗号化の脆弱性が存在する場合は、認証プロセスの後半で適用される可能性があります。

SMBv3 は、比較的新しいトランスポートプロトコルである QUIC プロトコルを介して SMB ファイルサーバーの実行に関与します。（このプロトコルは 2012 年に導入され、2021 年に標準化されました。ちなみに、TCP は 1974 年に導入され、1980 年に標準化されています。）UDP を介して構築され、多重化、暗号化などをサポートします。また、Microsoft は Windows への QUIC 搭載を進めており、Windows の新しいバージョン（11 および Server 2025）はすでにさまざまな方法でサポートしています。

CVE-2024-43447では、悪性のクライアントによって、攻撃を受けた SMBv3 サーバー上で ダブルフリー の脆弱性が発生する可能性があります。その結果、悪用が成功した場合、リモートコード実行につながる恐れがあります。深刻な被害をもたらすかもしれませんが、QUIC はまだそれほど普及していないため、実際に影響が生じる可能性はかなり低くなります。事実、Akami の調査によれば QUIC を有効にしているサーバーが存在する環境はわずか 8% に過ぎません。この 8% のうち、SMBv3 サーバーを使用している環境の割合はさらに低くなります。 というのも、SMBv3 サーバーはデフォルトでは有効になっていないからです。

QUIC トラフィックは UDP ポート 443 経由で通信するため、心配であればネットワーク管理者はセグメンテーションを使用してこのトラフィックを制限できます。また、SMB ファイルサーバーに QUIC サポート機能がある場合は、それを無効にすることもできます。

この脆弱性に加えて、通常の SMB にはサービス妨害の脆弱性が存在します。 CVE-2024-43642。

今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。