9 月の Patch Tuesday に関する Akamai の見解
9 月の Patch Tuesday が Microsoft から リリースされました。Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。このレポートでは、脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて独自の視点を提供します。Patch Tuesday がリリースされた後は毎回、木曜日に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の領域に焦点を合わせています。
ここで説明する、影響を受ける各サービスについて、Microsoft の推奨事項を引用するか、Akamai の経験に基づいて独自の回避策を提供することで、パッチ適用が不可能な場合の監視と緩和のための推奨事項を提供します。もちろん、パッチ適用に勝る緩和策はないため、できる限りシステムにパッチを適用し、最新の状態を維持してください。
IPSec の脆弱性
IPSec は、IP ネットワークを介してコンピューター間でデータパケットを暗号化して認証するセキュアなネットワーク・プロトコル・スイートのグループです。IPSec は、主に VPN で使用されます。
今回の Patch Tuesday では、IPSec の 2 つのコアプロトコル(IKEv1 と IPv6)のリモートコード実行の 3 件の重大な脆弱性に対するパッチが公開されました。
この脆弱性は、着信パケットの処理と解析を実行するコードフローに存在します。このため、不正な攻撃者によってリモートでトリガーされる可能性があることから、これらはすべて重大にランク付けされ、CVSS 9.8 のスコアが付けられています。
Windows インターネットキー交換プロトコル拡張
インターネットキー交換(IKE)は、暗号化キーのネゴシエーションに使用される一般的なプロトコルの 1 つです。
適用範囲
IKEv1 を使用する IPSec が有効になっているシステムは脆弱です。Windows Server は IKEv1 と IKEv2 の両方を有効にするため、脆弱です。
一般的な推奨事項
IPSec を使用していない場合は、組織で IPSec を無効にすることをお勧めします。
CVE
この IKE の脆弱性は、Kunlun Lab の Yuki Chen 氏によって発見されました。この脆弱性は、関数 IkeQueueRecvRequest、 IkeDecryptOakNDPacket、 IkeDecryptOakPacket 内の整数オーバーフローまたはアンダーフローが原因であると考えられ、範囲外(OOB)書き込みが発生する可能性があります。これらの脆弱性により、攻撃者は複数の要求を送信する必要がなくなり、悪用がより実現しやすくなります。
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
ネットワーク |
|
IPv6
適用範囲
IPSec と IPv6 が有効になっているシステムは、このバグに対して脆弱です。
一般的な推奨事項
IPSec を使用していない場合は、組織で IPSec を無効にすることをお勧めします。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
ネットワーク |
Microsoft Dynamics CRM の脆弱性
Microsoft の Dynamics CRM は、Microsoft Dynamics 365の一部です通常は、クラウドベースのサービスとして提供されますが、今月のパッチで解決された重大な脆弱性は、アプリケーションのオンプレミスインストール向けです。どちらの脆弱性も、CVSS スコアが 8.8 で重大と見なされ、 Fabian Schmidt 氏によって発見されました。
適用範囲
Microsoft Dynamics CRM を使用またはアクセスするためには、Microsoft Dynamics CRM を展開する必要があります。デフォルトでは展開されません。その ポートリスト はかなり一般的であるため、その存在を確認するためには、レジストリキー「HKLM\SOFTWARE\Microsoft\MSCRM」を探すのが適切な方法です。Akamai が監視した環境では、この生成物を探しても存在しないということはほとんどありませんでした。
一般的な推奨事項
パッチ適用は最優先事項ですが、すぐに実行できない場合は、 セグメンテーションを使用して攻撃ベクトルを軽減できます。セグメンテーション化は、次の 2 つのレベルで実行できます。
リングフェンシング - CRM サーバーにアクセスできるワークステーションの範囲を、システムにアクセスする必要がある従業員(通常は IT 担当者と CS 担当者)だけに制限できます。
また、CRM サーバーが CRM のみを実行し、それ以外は何も実行しない場合は、CRM に必要なポートリストにネットワーク通信を制限することもできます。詳細については、Microsoft の ドキュメントを参照してください。
ユーザーベースのセグメンテーション - 攻撃には認証されたユーザーが必要なため、適切な緩和ベクトルにもなります。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
SQLi がコマンド実行につながる |
認証されたユーザーによるネットワークアクセス |
|
OLE DB と ODBC の脆弱性
OLE DB と ODBC はどちらも、データ利用者とデータソース間の接続を抽象化するように設計された API 仕様です。ODBC は古く、手順型ですが、OLE DB は新しく、コンポーネント・オブジェクト・モデル(COM)を使用して実装され、非リレーショナルデータベースもサポートしています。
11 件のリモートコード実行の脆弱性が研究者の Haifei Li 氏によって発見されています。これらはすべて重要とランク付けされ、CVSS 8.8 のスコアが付けられています。Li 氏は、Windows で DB 接続に使用されるメカニズムの悪用の解明に多大な労力を費やしてきたものと思われます。SQL サーバーの OLE DB プロバイダーに 6 件の脆弱性が存在し、その他の 5 件の脆弱性は ODBC ドライバーに存在します。
OLE DB の脆弱性
6 件の OLE DB の脆弱性については、FAQ のセクションにまったく同じ攻撃フローの説明がありますが、この説明には間違いがあり(これについては、Microsoft Security Response Center に通知済みです)、攻撃者が制御するサーバーが、悪意のあるパケットを送信するのではなく受信していると記載されています。修正されたテキストは次のとおりです。
攻撃者は、認証されたユーザーを騙して OLEDB 経由で悪性の SQL サーバーに接続するように誘導することで、この脆弱性を悪用できます。これにより、このサーバーから悪性のネットワークパケットを送信できるようになり、攻撃者はクライアントでコードをリモートで実行できるようになります。
攻撃者は、標的のマシンで特定のトリガーを実行する必要がありますが、実行されると、標的のマシンは攻撃者が制御するリモートサーバーへの接続を試みます。これにより、リモートサーバーから悪性のパケットが送信され、クライアントシステムでコードが実行されます。
適用範囲
OLE DB 仕様の実装を処理するライブラリは、すべての Windows システムで使用できます。このため、脆弱性の悪用にアプリケーション、サービス、サーバーのロールをマシンにインストールする必要はありません。
一般的な推奨事項
セグメンテーションを使用すると、OLE DB の脆弱性の悪用を防止できます。組織内の SQL サーバーの許可リストを使用すれば、外部の未知のサーバーへの接続が確立されないため、前述の攻撃チェーンが防止されます。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
OLE DB プロバイダーでのリモートコード実行 |
ネットワーク(認証されたユーザー操作が必要) |
|
ODBC の脆弱性
攻撃のシナリオ(5 件の脆弱性すべて)では、認証されたユーザーを騙して Microsoft Access (Microsoft 365 スイートに含まれるデータベース管理システム(DBMS)アプリケーション)で悪意のあるファイルを開くように誘導します。悪意のあるファイルは ODBC 経由で開く必要があるため、ODBC ドライバーで脆弱なコードがトリガーされ、Access プロセスと同じアクセス許可レベルの標的のマシンで任意のコードが実行されます。
悪意のあるファイルは MDB 形式である必要があり、データベースの構造とエントリ、(オプションで)データ入力フォーム、クエリー、ストアドプロシージャなどを指定します。MDB ファイル形式は比較的古い形式ですが、Access 2007 からの後継の .accdb ファイルでは機能が追加されています。
適用範囲
複数のリソースによると、13 万 5,000 社もの組織が Microsoft Access アプリケーションを DBMS ソリューションとして使用しており、Akamai が監視する環境の データセンターの 27% で Microsoft Access アプリケーション がネットワークマシンの一部にインストールされています。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
ODBC ドライバーでのリモートコードの実行 |
ネットワーク(認証されたユーザー操作が必要) |
|
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
リスト管理へのアクセス許可を持つ認証されたユーザーによるネットワークアクセス |
|
ページ作成のアクセス許可を持つ認証されたユーザーによるネットワークアクセス |
リモート・プロシージャ・コール・ランタイムの脆弱性
リモート・プロシージャ・コール(RPC)は、効率的なプロセス間通信に使用されます。現在 Windows で最も広く使用されているプロトコルの 1 つであり、標準的なクライアントサーバーモデルに依存しています。Microsoft では、多くの Windows サービスの一部として RPC を使用しています。
この脆弱性により、攻撃者は portmap.sys の機能にアクセスできます。これは、Open Network Computing RPC プログラムをネットワークアドレスにマッピングするサービスです。
適用範囲
この脆弱性は、Windows Server のみに存在します。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
リモートコードの実行 |
ネットワーク |
Windows Kerberos の脆弱性
Kerberos は、Windows ドメインアーキテクチャのバックボーンとして機能します。これは、New Technology LAN Manager に置き換わるデフォルトの認証メカニズムです。今回は 2 件の脆弱性が見つかり、どちらも James Forshaw 氏によって発見されました。どちらの脆弱性も暗号化ダウングレードに関するものであり、CVSS スコアは 8.1 です。攻撃者は、脆弱な RC4-MD4 暗号化が使用されるように、標的と攻撃者ドメインコントローラー間の接続を変更することで、標的の Kerberos セッションキーを解読して特権を昇格できます。
適用範囲
Kerberos は、すべての Windows ドメインアーキテクチャの一部です。
一般的な推奨事項
Microsoft では、Kerberos Armoring で 2 件の脆弱性から保護できると推奨しています。詳細については、こちらの ページ をご覧ください。この脆弱性の発見者の James Forshaw 氏の 説明 によると、Kerberos Armoring を有効にするだけでは不十分であり、この要件を(サポートするだけでなく)KDC で強化する必要があると述べています
さらに、脆弱性が機能するための要件の 1 つはなりすまし攻撃です(これが CVE-2022-33679 に必ずしも当てはまらないと Forshaw 氏は述べています)、なりすまし攻撃では、攻撃者が標的とドメインコントローラーの間に位置します。なりすまし攻撃は一般的な攻撃ベクトルであり、かなり「重大」になる可能性があるため、IDS または IPS ソリューション、またはアクティブな脅威ハンティングを使用することで、一部のリスクを軽減できます。
CVE
CVE 番号 |
影響 |
必要なアクセス権 |
パッチ適用以外の緩和策 |
SYSTEM までの特権の昇格 |
ネットワーク(標的とドメインコントローラー間の偽装を使用) |
||
ネットワーク |
RC4 キーを使用しない Kerberos 事前認証を有効にする |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。
