X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

2024 年 10 月の Patch Tuesday に関する Akamai の見解

今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。

新たな月を迎え、CVE が山積みになっていますが、キャンディとは異なり、仮装した子供に CVE を配ることはできません。今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。そのうち 3 つが重大で、2 つは 野放し状態で悪用されていて、1 つは Akamaiが発見しました。

このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。

こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。

今月は、バグにパッチが適用された次の領域に焦点を合わせています。

その他のリサーチを見る

野放し状態で悪用されている脆弱性

CVE-2024-43572 — Microsoft Management Console(CVSS 7.8)

Microsoft Management Console(mmc.exe)は、さまざまなコンポーネントのグラフィカルインターフェースです。

たとえば、Windows Event Viewer、Services Manager、Task Scheduler はどれも、Microsoft Management Console のスナップインとして実装されています。

スナップイン自体も .msc 拡張子のファイルであり、表示するものと提供する機能を Management Console に指示します(つまり、たとえば Event Viewer を実行しているときは、実際には mmc.exe eventvwr.msc を背後で実行しているということです)。

この脆弱性は、信頼できない.msc ファイルのロードに関連しているようです。不適切な処理は、リモートコード実行(RCE)につながる可能性があります。もちろん、この場合の「リモート」とは、攻撃者と被害者の間の距離を指します。この脆弱性をトリガーするためには、被害者が悪性の.msc をダウンロードして開く必要があります。RCE の修正に加えて、今月のパッチには信頼できない.msc がロードされないようにする修正も含まれています。

CVE-2024-43573 — Windows MSHTML プラットフォーム(CVSS 6.5)

MSHTML は Windows オペレーティングシステム用の Web ページレンダラーであり、コンポーネント・オブジェクト・モデル(COM)インターフェースを公開して、プログラムが Web レンダリング機能を追加できるようにします。Internet Explorer、Microsoft Edge の Internet Explorer モード、Microsoft Outlook などのさまざまなプログラムで使用されます。

過去には、MSHTML プラットフォームに複数の脆弱性が存在していました(Akamai の研究者が発見したものも含む)。同プラットフォームは Windows に組み込まれた機能であり、防御メカニズムを回避できるため、攻撃者にとって魅力的な攻撃ターゲットです。

Akamai の研究者が発見した脆弱性

CVE-2024-43532 — Remote Registry Service(CVSS 8.8)

Windows の Remote Registry Service は、リモートコンピューター間で Windows Registry とのインタラクションを可能にするものであり、リモート・プロシジャー・コール(RPC)プロトコルで実行されます。CVE-2024-43532 は Akamai の研究者である Stiv Kupchik によって発見され、2024 年 2 月に開示されました。

この脆弱性は、Remote Registry RPC 実装のクライアント側、 RegConnectRegistry 関数と RegConnectRegistryEx 関数に存在します。根本原因は、RPC トランスポートのフォールバックメカニズムです。Remote Registry のトラフィックは通常、SMB の名前付きパイプで処理されますが、名前付きパイプが使用できない場合のための TCP へのフォールバックメカニズムがクライアント実装に含まれています。また、安全な認証と暗号化を使用する SMB トラフィックとは異なり、TCP トラフィックは完全性チェックや暗号化を行わずに認証されるため、NTLM リレー攻撃に対して脆弱です。

Akamai はこの脆弱性について 2024 No Hat カンファレンスで発表します。カンファレンスにアクセスしてライブで視聴するか、イベント後にリリースする付随ブログ記事をご覧ください。

Microsoft Configuration Manager

Microsoft Configuration Manager は Intune ソフトウェアファミリーの一部であり、IT マネージャーが多数の Windows コンピューターやサーバーを設定および管理するのを支援するために作られています。

Configuration Manager のセットアップには複数のコンポーネントが含まれていますが、ここで注目すべきは SQL データベースです。 CVE-2024-43468のメモと 脆弱性 IDによると、この脆弱性の悪用に成功すると、データベース上でコマンドを実行できます(モノリシックなシングルサーバーインストールの場合はメインの Configuration Manager サーバー上でも実行できます)。

Configuration Manager とコンソールアプリケーションの両方に対するパッチがあるため、問題はサーバーに入力した値がデータベースに渡される前にサニタイズ(無害化)または検証されないことである可能性があります(データベース自体のセキュリティの問題ではない)。そのため、セグメンテーションによってデータベースのセキュリティを確保することはセキュリティ対策として適切ですが、それだけではこの脆弱性の影響を軽減できない可能性があります。

次の osquery を使用して Configuration Manager のインストールを検知できる場合があります。

  SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’

Windows Remote Desktop

Windows Remote Desktop は、Remote Desktop Protocol(RDP)を介した Windows マシン間のリモートデスクトップ接続に使用されます。今月は、Windows Remote Desktop のさまざまなコンポーネントにまつわる複数の脆弱性があるため、それらについてまとめて説明します。

主な脆弱性はもちろん CVE-2024-43582 (サーバー側のサービスに関する重大な RCE の脆弱性)です。攻撃者は RDP サーバーに接続し、不正な形式のパケットをスパムとして送信し、競合状態に勝利するだけで、それを RCE に利用できるようになります。

RDP はネットワークでよく使用されており、 ラテラルムーブメント(横方向の移動)に利用され得るため、これに関するポリシールールを作成することをお勧めします。私たちが調査したところ、 89% のネットワークに Windows RDP トラフィックがあり、73% のネットワークは制限なくそのトラフィックに対処していました

RDP アクセスをユーザーマシンに制限するか、事前に承認されたサーバー(ジャンプボックスなど)のみに制限することで、これらの脆弱性がもたらすリスクを大幅に軽減できます。RDP に関する効率的な対策については、 セグメンテーションに関するブログ記事で説明しています。ポリシーの有無に関わらず、できるだけ早くパッチを適用することをお勧めします。

コンポーネント

CVE 番号

CVSS スコア

影響

リモート・デスクトップ・プロトコル・サーバー

CVE-2024-43582              

8.1

リモートコードの実行

Windows Remote Desktop Licensing Service

CVE-2024-38262

7.5

リモート・デスクトップ・クライアント

CVE-2024-43533

8.8

CVE-2024-43599

8.8

Windows Remote Desktop Services

CVE-2024-43456

4.8

改ざん
ご不明な点がございましたら、ご連絡ください!

以前に対応したサービス

今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。

サービス

CVE 番号

影響

必要なアクセス権

Windows Kerberos

CVE-2024-38129                                               

権限の昇格

ネットワーク、認証済み

CVE-2024-43547

情報開示

ネットワーク

Windows Routing and Remote Access Service

CVE-2024-38261

リモートコードの実行

ローカル、ソーシャルエンジニアリングまたはフィッシングが必要

CVE-2024-43608

リモートコードの実行

ネットワーク

CVE-2024-43607

CVE-2024-38265

CVE-2024-43453

CVE-2024-38212

CVE-2024-43549

CVE-2024-43564

CVE-2024-43589

CVE-2024-43592

CVE-2024-43593

CVE-2024-43611

Microsoft SharePoint

CVE-2024-43503

権限の昇格

ローカル

SQL サーバー用 Microsoft WDAC OLE DB プロバイダー

CVE-2024-43519

リモートコードの実行

ネットワーク

このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。

その他のリサーチを見る

関連ブログ記事

中規模または大規模のエンタープライズにとって、サイバーイベントに直面するのは時間の問題です。そして、それを解決するためには人間の専門知識が必要になります。
中規模または大規模のエンタープライズにとって、サイバーイベントに直面するのは時間の問題です。そして、それを解決するためには人間の専門知識が必要になります。

2024 年の年間レビュー:今日の知見、明日の展望

December 03, 2024
Akamai のサイバー専門家 6 名が、2024 年の注目すべきトレンドとイベントを振り返り、2025 年の動向について情報に基づいた展望を示します。
by Mitch Mayne
続きを読む
Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。
Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。

呼び出しと登録 — WinReg RPC クライアントに対するリレー攻撃

October 19, 2024
Akamai の研究者たちが、新たな脆弱性を発見しました。この脆弱性は、悪用されると Windows マシンへの権限昇格攻撃に繋がります。
by Stiv Kupchik
続きを読む
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。

アノニマス・スーダンの起訴:Akamai の役割

October 16, 2024
司法省は、アノニマス・スーダンの起訴を発表しました。Akamai がこの取り組みをどのように支援したのか、ご確認ください。
by Akamai SIRT
続きを読む