2024 年 9 月の Patch Tuesday に関する Akamai の見解
新学期が始まりました!私たちの専攻は CVE 分析です。いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
野放し状態で悪用されている脆弱性
CVE-2024-43491 — Microsoft Windows Update(CVSS 9.8)
3 月のセキュリティ更新のビルド番号に伴う問題により、オプションのコンポーネントを処理する Windows Update の部分のバグがトリガーされました。これにより、Windows Update は以降の更新を適用せず、それらのコンポーネントをベースバージョンに戻すようになりました。
Microsoft によると、この Windows Update のバグは一般に悪用されていませんでしたが、影響を受けるコンポーネントの一部には一般に悪用されている脆弱性が存在したため、カテゴリー化されています。
この CVE に対処するためには、セキュリティ更新 KB5043083 とサービススタック更新 KB5043936の両方をインストールする必要があります。
影響を受けるコンポーネントは次のとおりです。
Active Directory Lightweight Directory Service
管理ツール
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD 印刷サービス
Microsoft Message Queue(MSMQ)Server Core
MSMQ HTTP サポート
MultiPoint Connector
SMB 1.0/CIFS ファイル共有のサポート
Windows FAX とスキャン
Adaptive Media Player
Work Folders Client
XPS ビューアー
次の OSQuery を使用して、これらのコンポーネントのいずれかがコンピューターで有効になっているかどうかを確認できます。
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 — Windows Installer(CVSS 7.8)
Windows Installer(msiexec.exe)は、.msi ファイルの処理とインストールを行う Windows のコンポーネントです。この脆弱性に関する詳細な情報はあまりありませんが、悪用が成功すると SYSTEM 権限の取得につながるため、この問題はバイナリーだけでなく Windows Installer サービス(msiexec も指す)に伴うものである可能性があります。
CVE-2024-38226 — Microsoft Publisher のセキュリティ機能(CVSS 7.3)
Microsoft Publisher のセキュリティ機能は、有害な悪性の Microsoft Office ドキュメントからユーザーを保護することを目的としています。攻撃者は悪性コードをマクロ形式で Office ドキュメントに埋め込むことができます。Publisher のセキュリティ機能を使用すると、マクロの自動実行が防止され、実行を確認するポップアップメッセージがユーザーに表示されます。
CVE-2024-38226 はこの保護を回避し、ドキュメントを開いたときに悪性コードが自動的に実行されるようにします。
CVE-2024-38217 — Windows Mark Of The Web(CVSS 5.4)
2 か月連続で、Mark of the Web の新しいバイパスが発見されました。Mark of the Web は、インターネットからダウンロードされた危険である可能性のあるファイルをマークするセキュリティ機能です。これにより、ファイルを開くときに SmartScreen セキュリティ警告がトリガーされます。このバイパスは、その警告をスキップします。この脆弱性により、攻撃者が特定の方法でファイルを作成した場合、Windows SmartScreen がファイルのチェックに失敗し、警告画面が回避されます。
SmartScreen 回避の脆弱性が攻撃者によって積極的に悪用されたのは、先月が初めてではありません。2023 年 11 月と 2024 年 2 月のパッチにも、活発に悪用されていると報告されたバイパス脆弱性の修正が含まれていました。
この野放し状態で悪用されていた CVE に加えて、今月は CVE-2024-43487にパッチが適用されました。この CVE の CVSS スコアは 6.5 です。
Microsoft SharePoint は、他の Microsoft Office 製品と統合された Web ベースのドキュメント管理およびストレージシステムです。今月は CVE が 5 件あります。そのうち 2 件は重大なリモートコード実行(RCE)の脆弱性で、CVSS スコアはそれぞれ 8.8(CVE-2024-38018)と 7.2(CVE-2024-43464)です。残りは、RCE の脆弱性 2 件とサービス妨害(DoS)の CVE 1 件です。
CVE-2024-38018 を悪用するために、攻撃者は少なくとも SiteMember 権限を持つアカウントを使用して SharePoint サーバーに対する認証を行わなければなりません。攻撃者がコードの実行をトリガーするために何を実行しなければならないのかについて、詳細な情報はありません。
CVE-2024-43464、 CVE-2024-38227、 CVE-2024-38228 を悪用するためには、SiteOwner 権限が必要です。また、細工したファイルをアップロードし、API リクエストを使用してアクセスする必要があります。これにより、ファイルパラメーターのデシリアライゼーションがトリガーされ、SharePoint サーバープロセスにコードインジェクションが実行されます。
私たちの調査では、約 30% の環境に SharePoint サーバーがインストールされたマシンが少なくとも 1 台あることがわかりました 。
SharePoint サーバーは通常、ドキュメント共有に使用されるため、通常の操作に影響を与えることなく、ユーザーアクセスをセグメント化または制限することが困難になる場合があります。したがって、できるだけ早くサーバーにパッチを適用することをお勧めします。
ただし、これらの RCE の CVE を悪用するためにはユーザー認証が必要であるため、ユーザーアクセスを強化するか、不審なユーザーアクティビティやログオンに対するアラート感度を高めることによって、リスクを多少緩和することができます。
Windows ネットワークアドレス変換(NAT)
ネットワークアドレス変換 (NAT)は、1 つの IP アドレスの背後に複数の IP アドレスをマッピングするネットワークの一形態です。主な用途は、内部ネットワークの IP 範囲全体を単一の外部 IP の背後に置くことで、ネットワークを分離することです。
今月の CVE-2024-38119 は、Windows NAT に存在する重大な RCE の脆弱性です。これを悪用するためには、競合状態に勝利する必要があります。Windows のどのコンポーネントが NAT に関与しているのかは不明であり、NAT は通常のネットワークスタックの前に発生するため、おそらくセグメンテーションでは緩和できません。そのため、唯一の緩和策としてパッチの適用が推奨されます。
Microsoft SQL Server
今月は、Microsoft SQL Server(MSSQL)サーバーの CVE が 13 件あります。そのうち 9 件は MSSQL の Native Scoring 機能(事前トレーニング済みモデルに基づいてデータ値を予測する機械学習機能)の CVE であり、その 9 件のうち 6 件は RCE です。また、ネイティブ MSSQL サーバーの CVE が 4 件あります。
SQL Server には通常、機密情報が保管されていることから、データ盗難インシデントを防止するためにセグメント化し、アクセス制御の制限をかける必要があります。こうしたポリシーが導入されていない場合は、今回が新たに取り入れる良い機会です。既存の MSSQL Server をマッピングし(MSSQL サービスを検索、またはポート 1433 および 1434 経由の接続を検索)、
それが完了したら、既存のトラフィックや、アクセスが必要な他のセグメント(IT からすべて、財務から財務、など)に基づいて、セグメンテーションポリシーを作成します。これは、悪質な行為をしている人や、本来はアクセス権限のないデータベースにアクセスしている人を見つける良い機会にもなります。
Akamai の調査によると、 75% のネットワークに MSSQL サーバーがあります。
サービス |
CVE 番号 |
影響 |
|---|---|---|
Microsoft SQL Server の Native Scoring 機能 |
リモートコードの実行 |
|
情報開示 |
||
Microsoft SQL Server |
||
権限の昇格 |
||
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
サービス妨害 |
ネットワーク |
||
権限の昇格 |
ネットワーク |
||
リモートコードの実行 |
NetNAT サービスが有効になっているネットワーク |
||
なりすまし |
ネットワーク |
||
リモートコードの実行 |
ネットワーク、認証されたユーザー |
||
情報開示 |
ネットワーク |
||
サービス妨害 |
|||
なりすまし |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます脆弱性に焦点を当てます。