2022 年 10 月の Patch Tuesday に関する Akamai の見解
2022 年 10 月の Patch Tuesday が Microsoft から リリースされました。Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。本レポートでは、それらの脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて独自の視点で説明します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
こちらの 別のブログ記事でも、Akamai のチームが発見し、今月パッチが提供された 2 件の脆弱性について説明しています。サーバーサービスとワークステーションサービスに 1 つずつ存在したこれら 2 つの脆弱性は、前の記事で詳しく説明したメカニズムである MS-RPC セキュリティコールバックのキャッシングに関連したものです。これらの脆弱性は、Akamai のチームが MS-RPC について継続的に調査を行う中で発見されました。自動化ツールや、その他,知識共有を目的とした資料を含め、これらの脆弱性の詳細については、今週初めに新たに MS-RPC GitHub リポジトリを開設しましたのでそちらをご覧ください。
このレポートで説明する、影響を受ける各サービスについて、Microsoft の推奨事項を引用するか、Akamai の経験に基づいて独自の回避策を提供することで、パッチ適用が不可能な場合の監視と緩和のための推奨事項を提供します。もちろん、パッチ適用に勝る緩和策はないため、できる限りシステムにパッチを適用し、最新の状態を維持してください。
Azure Arc 対応 Kubernetes のクラスター接続
Azure Arc を使用すると、オンプレミスのインフラを Azure に接続し、簡単に管理できます。これにより、Azure Resource Manager という単一のリソースマネージャーを使用して、仮想マシン、Kubernetes クラスター、データベース、サーバーなど、環境全体を管理することができます。 Azure Arc 対応 Kubernetes を使用すると、クラウド環境やオンプレミス環境など、実行している場所にかかわらず、Kubernetes をアタッチして設定を行い、Azure Resource Manager で管理することができます。
今月、Azure Arc 対応 Kubernetes のクラスター接続機能において、 権限昇格に関する CVSS スコア 10 の重大な脆弱性 が 1 件見つかりました。クラスター接続機能を使用すると、クラスターでリバース・プロキシ・エージェントを実行することにより、Kubernetes クラスターを Azure Arc サービスに簡単に接続できます。この機能により、ファイアウォールでインバウンドポートを有効にすることなく、クラスターの apiserver に接続できるようになります。この機能は便利である一方、誰でもインターネットからクラスターにアクセスできてしまうことから、Akamai ではこれが CVE の最高スコアにつながった要因の 1 つであると考えています。
Microsoft によると、攻撃者がこの脆弱性を悪用するためには、ランダムに生成されたクラスターの外部 DNS エンドポイントを知っている必要があるとともに、インターネット経由でアクセスできることが必要です。悪用の試みが成功した場合、このクラスター接続機能により 未認証ユーザーの権限がクラスター管理者に昇格され、そのユーザーに Kubernetes クラスターを自由に制御される恐れがあります。Azure Stack Edge を使用すると、Azure Arc 経由でデバイス上に Kubernetes ワークロードを展開することができるため、脆弱性のある Azure Arc に接続された Azure Stack Edge もこの CVE に基づく攻撃を受ける可能性があります。
一般的な推奨事項
Azure Arc 対応 Kubernetes のクラスター接続機能では、TCP のポート 443 を使用して通信が行われるため、ポートのセグメンテーションは簡単ではありません。ただし、Azure Arc では自動アップグレードがデフォルトで有効になっているため、デフォルトのままであれば保護されています。保護されているかどうかわからない場合は、 こちら で自動アップグレードが有効になっているか確認してください。有効になっていない場合は、 こちら のマニュアルに従ってエージェントをアップグレードしてください。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
権限の昇格 |
脆弱性のあるクラスターへのインターネットアクセス。ユーザー認証は必要ありません。 |
Microsoft CryptoAPI
Microsoft CryptoAPI は、セキュアな接続およびコード署名の検証のための Microsoft 独自のフレームワークです。CryptoAPI の最も重要な役割として、証明書の処理があります。
Microsoft は 2022 年 8 月の Patch Tuesday で、CryptoAPI ライブラリの問題を修正しました。この問題は英国の National Cyber Security Centre および米国の National Security Agency により報告され、10 月に勧告が公開されています。
Akamai では、この問題に最も関連性の高い変更が行われたのは crypt32.dll 内だと考えています。この DLL では関数 CreateChainContextFromPathGraph が変更されました。この脆弱性は、これらの変更に関連があると考えています。
CreateChainContextFromPathGraph は CertGetCertificateChainから呼び出されています。この CertGetCertificateChain はドキュメントが整備されている API 呼び出しであり、セキュアな接続が行われるたびに、証明書チェーンのコンテキストを構築するために実行されます。Akamai は現在のところ、この関数内にチェックが不足しているために脆弱性が発生していると考えています。
攻撃者がこの脆弱性の悪用に成功すると、アイデンティティを偽装して、セキュアな接続の正規パートナーになりすますことができます。そのためには、攻撃者はおそらく中間者攻撃を仕掛ける必要があります。さらに、パッチのリリースノートから判断すると、攻撃者がこの脆弱性を悪用する場合に認証は必要ないと考えられます。 攻撃者は X509 証明書を操作して、コード署名による保護を回避することもできます。
一般的な推奨事項
Microsoft によると、この脆弱性はリモートから悪用可能であり、認証の必要がありません。Microsoft CryptoAPI は Windows で広く使用されており、すべての Windows エンドポイントに存在するため、パッチをインストールすることをお勧めします。また、この脆弱性に対しては 8 月の Patch Tuesday でパッチが提供されていることにも注意してください。したがって、8 月以降のアップデートを含むマシンはこの脆弱性から保護されています。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
スプーフィング |
ネットワーク |
Windows ポイントツーポイント・トンネリング・プロトコル
ポイントツーポイントプロトコル(PPP)はリモート・アクセス・サーバー(RAS)に統合されており、リモート接続にフレーミング機能と認証機能を提供します。
今月、PPP の 7 つの脆弱性に対してパッチが提供されました。すべてが CVSS スコア 8.1 のリモートコード実行(RCE)の重大な脆弱性です。 今年の 8 月に、同じ研究者である Yuki Chen 氏 が CVSS スコア 9.8 となる 2 件の RCE 脆弱性を同プロトコルで発見しています。
Microsoft の勧告によると、悪性のポイントツーポイント・トンネリング・プロトコル(PPTP)パケットを送信することで、認証されていないリモートの攻撃者が PPTP サーバーでコードを実行できる可能性があります。ただし、このような攻撃を行うためには競合状態に勝つ必要があり、必ず望みどおりの結果を得られるわけではないため、時間がかかることがあります。そのような複雑な要素が絡んでいるため、7 つすべての脆弱性が悪用される危険性は低いと考えられます。
PPTP の重要性: Akamai の監視対象の環境で照会した全 Windows Server のうち、40% のサーバーがポート 1723 経由で接続を受信します。1723 は PPTP の標準ポートです。インターネットに公開されているサーバーに関しては、 Shodan のレポートによると 330 万台のサーバー がポート 1723 で接続をリッスンしていますが、Windows が実行されているサーバーはほとんどありません。
バグの発生箇所: Akamai では、PPTP を実装するドライバーである raspptp.sys に脆弱性が存在すると考えています。
一般的な推奨事項
Microsoft は、この脆弱性はポート 1723 を使用して通信する場合にのみ悪用される可能性があると指摘しています。したがって、パッチを適用する以外にも、ネットワークの RAS サーバーをセグメント化し、このポートの接続をブロックすることによって脆弱性の悪用を防止することもできます。ただし、ポートをブロックすると正常な通信まで妨げられる可能性があることに注意が必要です。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
CVE-2022-38047 |
RCE |
ネットワーク |
CVE-2022-24504 |
||
CVE-2022-38000 |
||
CVE-2022-22035 |
||
CVE-2022-30198 |
||
CVE-2022-33634 |
||
CVE-2022-41081 |
Microsoft Office
Microsoft Office は、クライアントソフトウェアのスイートです。10 月の Patch Tuesday では、Office アプリケーションに存在する重要な脆弱性がいくつか修正されています。それらの脆弱性のうち 3 つでは、攻撃者に悪用されると任意のコードが実行される危険性があります。もう 1 つの脆弱性(CVE-2022-38001)はスプーフィングに関する脆弱性で、Akamai では認証強制につながると考えています。これらの問題について、Microsoft はプレビューウィンドウからは作動させることができないと説明しています。そのため Akamai では、これらはマクロに関連した脆弱性であると考えています。マクロを表示または実行するためには、ユーザーの操作が必要なためです。
一般的な推奨事項
これらの脆弱性は Microsoft Office アプリケーションスイートに関連したものであり、Office 365 に関連したものではありません。そのため、Microsoft Office を使用しているお客様はマシンをアップデートする必要があります。Microsoft Office のさまざまなアプリケーションが広範囲にわたるアタックサーフェスを抱えており、繰り返し脆弱性が見つかっているため、可能であれば Office 用 Application Guard の使用をお勧めします。Application Guard を使用すると、添付ファイルを開くプロセスがサンドボックス内で実行されるため、悪性のコードが実行されたとしてもホストマシンへの被害を防止できます。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
任意のコードの実行 |
ローカル/リモート。この脆弱性では、ユーザーの操作(ドキュメントを開く、マクロを許可するなど)が必要です。 |
|
スプーフィング |
Active Directory 証明書サービス
Active Directory ドメインサービス(AD DS)は Active Directory のコアコンポーネントの 1 つです。このロールを実行しているサーバーが Windows ドメインのドメインコントローラーとなります。
スコープ分析
すべての Windows ドメインネットワークに AD DS を実行している Windows Server(ドメインコントローラー)が少なくとも 1 つあります。
今月の脆弱性は Active Directory 証明書サービス(AD CS)に実際に存在します。このサービスはデフォルトでは利用できず、ロールを追加でインストールする必要があります。Akamai はお客様の環境で Windows Server を監視していますが、それによると監視対象ネットワークの 66% で AD CS ロールを持つサーバーが存在しています。
AD CS は攻撃者に悪用されやすいことが知られています。最近の最も有名な攻撃事例である PetitPotam では、NTLM リレーの標的として攻撃フローで悪用されました(SpecterOps による 優れた調査 を使用)。
一般的な推奨事項
AD CS サーバーは台数が少ないため、ネットワークのセグメンテーションを使用して異常な接続を制限したり、監視を行うことが可能です。ほとんどのセグメンテーションソリューションには、接続メタデータによるセグメント化機能が用意されていますが、AD CS の認証は RPC経由で行われるため、接続メタデータからだけでは検知が困難な可能性があります(ランダムなエフェメラルポートで通信が行われるため)。その場合は、(RPC エンドポイント・マッパー・ポート 135 を使用して)Windows Server からの送信 RPC 接続(特に RPC 接続を受信するはずのないデスクトップマシンへの接続)をセグメント化することができます。
CVE 分析
CVE-2022-37976 では、必ずしも AD CS サーバーに向けて攻撃が仕掛けられるわけではなく、むしろ唯一の要件として AD CS サーバーが利用されるとしています。つまり、AD CS サーバーを利用して、DCOM サーバーに向けた認証強制攻撃が行われます。Microsoft によると、悪性の DCOM クライアントはこの脆弱性を悪用し、DCOM サーバーに AD CS を使用してクライアントに対する認証を実行させ、その認証情報をリレーして最終的にドメイン管理者トークンを手に入れます。
一方、CVE-2022-37978 は NTLM 認証にまつわる攻撃手法についてのものです。この脆弱性に関する FAQ には、攻撃を行うためには中間マシン(MITM)が必要で、NTLM 認証に関連すると記載されているため、Akamai ではこの脆弱性は AD CS サーバーに存在する NTLM リレー攻撃の影響緩和策を回避するものだと考えています。
CVE 番号 |
影響 |
必要なアクセス権 |
攻撃者は、DCOM サーバーに AD CS を使用した認証を強制し、クロスプロトコル攻撃を仕掛けることで、ドメイン管理者権限を取得できます。 |
ネットワーク |
|
攻撃者は、MITM 攻撃を使用して、NTLM 認証に関して用意されたセキュリティ機能を回避できます。 |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。