2023 年 9 月の Patch Tuesday に関する Akamai の見解
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
Microsoft 管理者:さて!今月パッチが適用された 65 の CVE のうち、重大なものは 2 つだけです。最高の CVE 評価は 8.8 です。また、報告された脆弱性のうち 2 つは 野放し状態で悪用されています。過去数か月と比べると、悪くない数字ですね!
このレポートでは、それらの脆弱性が実際にどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。また、パッチ当日、弊社の Twitter アカウントではすぐに確認できる まとめ を発信しています。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2023-36802 — Microsoft Streaming Service Proxy(CVSS 7.8)
Microsoft Streaming Service Proxy は、Office 365 Video の後継である Microsoft Stream に関連しています。このサービスは「MSKSSRV」という名前で、%WinDir%\System32\drivers\MSKSSRV.sys に実装されています。この脆弱性が悪用され、権限昇格が発生しました。
CVE-2023-36761 — Microsoft Word(CVSS 6.2)
悪用されていた Microsoft Word の脆弱性(CVSS スコア 6.2)が修正されました。この脆弱性は、NTLM 認証の強要と思われます。この脆弱性は、プレビューペインにも影響します。
今月修正された Microsoft Word の脆弱性はこれだけではなく、別の RCE の脆弱性(CVE-2023-36762)も影響していました。この脆弱性はプレビューペインにも影響しますが、Microsoft によると、最初の脆弱性とは異なり、この脆弱性が悪用される可能性は低いとのことです。
Microsoft Azure Kubernetes Service
Microsoft Azure Kubernetes Service(AKS)は、コンテナ化された環境の展開と管理を可能にする Microsoft の Kubernetes プラットフォームです。
この脆弱性に関する Microsoft のノートから、この攻撃は外部ソースから実行できることがわかっており、これはクラスターそのものではなく、AKS インフラへの攻撃を示している可能性があります。
攻撃の最終結果として、Kubernetes クラスターに攻撃者の管理者権限が付与されます。このような攻撃は深刻に聞こえますが、Microsoft はこの攻撃が悪用される可能性は低いと指摘しました。
他の Kubernetes 関連ニュースとしては、当社のリサーチチームが ブログ記事 を発表しました。CVE-2023-3676 に関するものですが、この脆弱性により、Kubernetes クラスター内のすべての Windows エンドポイントにおいて、SYSTEM 権限でリモートコード実行(RCE)が可能です。
Windows Themes
Microsoft テーマは、Windows の機能で、ユーザーがアイコンやフォントの表示方法などの変更を行うことができます。
テーマは、エンドポイント上の任意のユーザーが適用できます。つまり、権限を必要としません。修正された脆弱性を悪用するためには、攻撃者がユーザーを「騙して」悪性のテーマファイルを適用させる必要があります。
この脆弱性に関する Microsoft のノートから、この脆弱性はエンドポイントに対する RCE であることがわかっています。そこで、テーマファイルが不正なソースからバイナリをダウンロードして、そのバイナリが実行される可能性のある場所を想定します。
インターネット接続共有(ICS)
インターネット接続共有(ICS)サービスに RCE の脆弱性が発見されました。
ICS は、インターネットに接続された Windows ホストが、インターネットに直接アクセスできないローカルネットワーク内の他のホストへのインターネットゲートウェイとして機能できるようにするためのサービスです。
このサービスは、同じ LAN 内のホストによってのみ使用されることを想定しています。Microsoft がこの脆弱性を、同じネットワークセグメント内のホストからのみ悪用が可能であると判断しているのは、そのためかもしれません。
旧バージョンの Windows を除き、ICS サービス「SharedAccess」はデフォルトでは実行されません。
Microsoft Exchange Server
今月は、Microsoft Exchange Server の CVE が 5 つありました。そのうちの 3 つはリモートサーバーで RCE を可能にする脆弱性、残りの 2 つは情報漏えいまたはなりすましの脆弱性です。すべての脆弱性には、有効な Exchange ユーザーの認証情報が必要です。
私たちの調査では、約 28% の環境がオンプレミス Microsoft Exchange Server を使用していることがわかりました。
ここに記載されている脆弱性は、実際には 8 月の Exchange ソフトウェアアップデート時にパッチが適用されています。このため、このアップデートをインストールしたクライアントはすでに保護されています。
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|
リモートコードの実行 |
隣接 |
|
情報開示 |
隣接 |
|
スプーフィング |
隣接 |
|
リモートコードの実行 |
隣接 |
|
リモートコードの実行 |
隣接 |
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
セキュリティ機能のバイパス |
ネットワーク |
||
スプーフィング |
ローカル |
||
権限の昇格 |
ローカル |
||
権限の昇格 |
ネットワーク |
||
情報開示 |
ネットワーク |
||
サービス妨害 |
|||
セキュリティ機能のバイパス |
ローカル |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。また、Akamai の Twitter アカウントでリアルタイムの更新情報を確認できます。
