2023 年 10 月の Patch Tuesday に関する Akamai の見解
いつもと同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性について調査しました。今月パッチが適用された 105 の CVE のうち、重大なものは 12 でした。最高の CVE 評価は 9.8 です。また、3 件の脆弱性が野放し状態で悪用されています。
今月は通常より短いレポートで、。 野放し状態で悪用されている脆弱性に焦点を当てます。
野放し状態で悪用されている脆弱性
CVE-2023-44487 — HTTP/2 Rapid Reset Attack(CVSS 7.5)
これは サービス妨害(DoS) 脆弱性であり、 Google、 Cloudflare、 Amazonによって発見および報告されました。この脆弱性は、史上最大の 分散サービス妨害(DDoS)攻撃 を可能にするもので、HTTP/2 の「Rapid Reset」と呼ばれる技術に依存しており、ストリームの多重化を利用しています。
緩和
この攻撃は目新しいものではありますが、プロトコルレベルのものであり、レート制御、Web アプリケーションファイアウォール、Bot Manager Premier、Client Reputation などのセキュリティ製品の機能を使用して、他のレイヤー 7 DDoS 攻撃と同様に Akamai が顧客の代わりに緩和することができます。
Akamai によって保護されていない HTTP/2 を使用している Web サーバーは、この CVE の悪用を防ぐため、ベンダーのパッチを導入するか、HTTP/2 を完全に無効する必要があります。
Microsoft では、以下の 2 つのレジストリキー( EnableHttp2TIs と EnableHttp2Cleartext)を使用して HTTP/2 を無効にする回避策を提案しています。以下は、 Akamai Guardicore Segmentation を利用している顧客が、ネットワーク内のサーバー全体でこの値を読み取るために使用できる Osquery クエリーです。
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 — Microsoft WordPad の情報漏洩の脆弱性(CVSS 6.5)
この脆弱性により、攻撃者は被害者の NTLM ハッシュを漏洩させることができます。悪用は、特別な加工が施されたアプリケーションを実行することによって行われ、被害者に悪性のファイルを開くよう誘導することでも可能です。これらの認証情報がどのように開示されるのかについての詳細はわかっていませんが、SMB 経由で認証情報を漏洩させる攻撃である可能性が考えられます。
Microsoft WordPad は、すべての Windows エンドポイントにインストールされています。
緩和
パッチ適用以外に、次のことをお勧めします。
マイクロセグメンテーションを使用して、WordPad プロセス(wordpad.exe)からインターネット宛先への SMB トラフィック(TCP ポート 445)をブロックします。
Windows 11 では、グループポリシーの管理用テンプレート > Network > Lanman Workstation > Block NTLM でリモートロケーションへの NTLM ハッシュの自動送信を無効にすることができます。
CVE-2023-41763 — Skype for Business の特権昇格の脆弱性(CVSS 5.3)
悪用された最後の脆弱性は、Skype for Business に存在します。攻撃者は、標的となる Skype for Business サーバーに特別な呼び出しを行い、任意の(攻撃者が制御する)アドレスにリクエストを行って IP アドレスやポート番号を開示する可能性があります。このような情報は、内部ネットワークへのアクセスを提供し、この脆弱性に「特権の昇格」クラスを与える可能性があります。
