8 月の Patch Tuesday に関する Akamai の見解
By Akamai Security Research
8 月の Patch Tuesday が Microsoft から リリース されました。Akamai Security Research では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。このレポートでは、脆弱性が実際にどの程度重要であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて独自の視点を提供します。Patch Tuesday がリリースされるたびに、水曜日にはこうした知見にご注目ください。
こちらは最新情報に応じて更新されるレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
このレポートでは、バグにパッチが適用された次の 4 つの領域に焦点を合わせています。
Windows Point-to-Point プロトコル(PPP)
Windows Security Socket Tunneling プロトコル(SSTP)
ネットワークファイルシステム(NFS)
Active Directory 証明書サービス(AD CS)
Microsoft Exchange Server
ここで説明する、影響を受ける各サービスについて、Microsoft の推奨事項を引用するか、Akamai の経験に基づいて独自の回避策を提供することで、パッチ適用が不可能な場合の監視と緩和のための推奨事項を提供します。もちろん、パッチ適用に勝る緩和策はないため、できる限りシステムにパッチを適用し、最新の状態を維持してください。
リモートアクセスサーバーの脆弱性
リモートアクセスサーバー(RAS)の 2 つの主要プロトコル(Point-to-Point プロトコルと Secure Socket Tunneling プロトコル)に Patch Tuesday は重大な脆弱性をもたらしました。
VPN 同様、リモートアクセスは、リモートクライアントが LAN に接続できるようにする Windows Server のロールです。サーバーロールはアクティブに追加する必要があります。
Windows Point-to-Point プロトコル
PPP(Point-to-Point プロトコル)は RAS に統合されており、リモート接続にフレーミング機能と認証機能を提供します。
PPP には 4 つの脆弱性が見つかりました。CVSS スコアが 9.8 の重要なリモートコード実行の脆弱性 2 つと、サービス妨害の脆弱性 2 つ(スコアは 7.5 と 5.9)です。Microsoft の勧告によると、巧妙に細工された接続リクエストを送信することで、認証されていないリモートの攻撃者が RAS サーバーでコードを実行できる可能性があります。
4 つすべての脆弱性が悪用される可能性は低いとされているため、脆弱性の誘発や悪用は困難であるか、少なくとも簡単ではないと考えられます。
PPP の重要性: Akamai の監視対象環境で照会した全 Windows Server のうち、40% のサーバーがポート 1723 経由で接続を受信します。1723 は Point-to-Point トンネリングプロトコルの標準ポートです。
バグの発生箇所:
CVE 分析
| CVE 番号 | 影響 | 必要なアクセス権 | パッチ適用以外の緩和策 |
|---|---|---|---|
| CVE-2022-35744 | リモートコードの実行 | ネットワーク | ポート 1723 の無効化 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | サービス妨害 | - | |
| CVE-2022-35747 |
Windows Secure Socket Tunneling プロトコル
Microsoft Developer Network によると、Windows Secure Socket Tunneling プロトコル(SSTP)は、HTTPS を介して PPP トラフィックをカプセル化するメカニズムです。基本的に、このプロトコルでは、ユーザーが HTTPS を使用してプライベートネットワークにアクセスできます。
CVSS スコア 8.1 の 6 つのリモートコード実行の脆弱性にパッチが適用されました。また、これらとは別に存在する、スコア 8.1 の 2 つのリモートコード実行バグにもパッチが適用されました。これらは SstpSvc サービスに関連していると Akamai では推測しています。スコア 5.3 のサービス妨害に関する脆弱性 1 つにパッチが適用されました。
バグの発生箇所: SSTP にサポートを提供する Windows サービスは SstpSvc です。SstpSvc は最終的に sstpsvc.dll を実行します。
一般的な推奨事項
CVE-2022-34701 を除き、すべての脆弱性で競合状態が発生します。通常、競合状態に関係する攻撃には(短い期間で)複数の試行が必要なため、攻撃が仕掛けられるとネットワークトラフィックが増加する可能性があります。そのため、トラフィックのピークレートと急増を監視することで攻撃の試みを発見できる場合があります。
CVE 分析
| CVE 番号 | 影響 | 必要なアクセス権 | パッチ適用以外の緩和策 |
|---|---|---|---|
| CVE-2022-35766 | 認証されていない攻撃者 が リモートコードを実行 できる可能性がある:RAS サーバーマシン上で | ネットワーク | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | 認証されていない攻撃者 が リモートコードを実行 できる可能性がある:おそらく SstpSvc サービスを介して | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | サービス妨害 |
ネットワークファイルシステム
ネットワーク経由でリモートファイルアクセスを可能にするために Sun Microsystems が開発したネットワークプロトコルがネットワークファイルシステム(NFS)です。Microsoft Windows に実装されており、NFS ロールをサーバーに追加することで NFS サーバーにすることができます。
スコープ分析
NFS 機能を使用するためには、これを Windows のサーバーとクライアントに追加する必要があります。これは、Windows Server の「ファイルサービスおよびストレージサービス」サーバーロールに含まれています。
NFS では通常、ポート 111(Sun RPC の EpMapper ポート:Sun RPC を介して初期バージョンの NFS が実装されています)と 2049 が使用されます。さまざまなデータセンターを調査したところ、NFSv4 サーバーの可能性があるのはわずか 0.1% で、Windows を実行しているのは 約半分 のみでした。
また、今月の CVE は最新のセキュリティ更新プログラムの 1 つによって導入されたと Akamai では考えています。Microsoft の緩和策(NFS v4.1 の無効化)では、パッチが完全に適用されていないサーバーでのみこの緩和策を実行するよう警告されているため、完全にパッチが適用されていないサーバーは安全である可能性があります。
一般的な推奨事項
通常は、NFS サーバーをアップグレードして NFS v4.1 を使用できるかどうかを確認することをお勧めしていますが、これは v4.1 が最も安全なバージョンであるためです。この PT の NFS に関連する脆弱性のほとんどは、以前のバージョンのプロトコルを対象にしています。ただし今回、この脆弱性は NFS v4 のみに影響するため、アップグレードは推奨できません。
代わりに、NFS サーバー周辺にセグメンテーションを適用することをお勧めします。NFS クライアントをより小さなサーバー/ワークステーションのグループに制限(リングフェンス)できるかどうか確認し、NFS サーバーからの送信トラフィックも制限する必要があります。サーバーであることから、接続を開始する理由はいくつか考えられます。悪用が成功した場合でも、セグメンテーションによってその影響を抑えることができます。
CVE 分析
CVE 番号 |
影響 |
必要なアクセス権 |
パッチ適用以外の緩和策 |
NFS v4 への認証されていない呼び出しを使用して、攻撃者がリモートでコードを実行できる可能性がある |
ネットワーク |
— NFSv4 の無効化 — セキュリティ更新プログラムのロールバック(過去の CVE の大半は以前のバージョンを対象としていたため、NFSv4 は残したまま) |
Active Directory 証明書サービス
Active Directory ドメインサービス(AD DS)は Active Directory のコアコンポーネントの 1 つです。このロールを実行しているサーバーが Windows ドメインのドメインコントローラーとなります。
スコープ分析
すべての Windows ドメインネットワークに AD DS を実行している Windows Server(ドメインコントローラー)が少なくとも 1 つあります。
今月の脆弱性は Active Directory 証明書サービス(AD CS)に実際に存在します。このサービスはデフォルトでは利用できず、ロールを追加でインストールする必要があります。お客様環境で Akamai が監視対象としている Windows Server では、監視対象ネットワークの 66% に AD CS ロールが付与されているサーバーがあることがわかっています。
AD CS は攻撃者によって悪用されていることが知られています。最も悪名高い最近の例は PetitPotam です。NTLM リレーの標的として攻撃フローで AD CS が使用されていました(SpectterOps による 優れた調査 を使用)。
一般的な推奨事項
ドメインアーキテクチャで重要な役割を果たす、ネットワーク内の一部のサーバー(または単一のサーバー)にのみ AD CS サービスをインストールすることが推奨されているため、このようなサーバーにはできるだけ早くパッチを適用することを強くお勧めします。
それができない場合は、不自然なアクティビティが発生した場合に監視する必要がある、追加の Windows イベントログが(他の類似の CVE に続いて)5 月のパッチによって導入されています。詳細については KB5014754 をご覧ください。
CVE 分析
CVE 番号 |
影響 |
必要なアクセス権 |
パッチ適用以外の緩和策 |
特定のユーザー属性を変更した後に AD CS へのリクエストを行うことで、攻撃者が SYSTEM 権限を取得できる可能性がある |
ネットワーク |
AD CS の無効化 |
Microsoft Exchange Server
Microsoft Exchange Server は Microsoft が開発したメールサーバーです。今月は 6 件の CVE があり、重大な特権の昇格の脆弱性 3 件、重要な情報漏えいの脆弱性 3 件にパッチが適用されました。これらの脆弱性は、Office 365 インスタンスではなく、Exchange のオンプレミスインストールに影響します。
スコープ分析
Office 365 の導入により、オンプレミスのインストールよりも SaaS ソリューションを優先する企業が増えています。Akamai の監視対象ネットワークの中でオンプレミス Exchange サーバーがあるのはわずか 40% です。
一般的な推奨事項
情報漏えいの脆弱性があるということは、攻撃者が対象を絞り込んでメールを読めるということに他なりませんが、特権昇格の脆弱性の影響を Microsoft は明確に述べていません。この脆弱性により、攻撃者が他のユーザーの名前でメールを送信できる可能性があると Akamai では考えています。 また、この脆弱性は「悪用される可能性が高い」と分類されているため、Exchange サーバーにパッチを適用し、 拡張保護を有効にすることを強くお勧めします。詳細については、Microsoft の Exchange ブログをご覧ください。
さらに、こうした脆弱性の一部では、攻撃者の制御下で Exchange サーバーが悪性のサーバーにアクセスする必要があります。オンプレミス Exchange サーバーの必須ネイバー(外部メールサーバーやデータベースなど)をマッピングし、ネイバーに対する制限ルールを作成するのも効果的な緩和策となります。
CVE 分析
CVE 番号 |
影響 |
必要なアクセス権 |
パッチ適用以外の緩和策 |
攻撃が成功すると、攻撃者がメールの読み取りと送信を実行できる可能性がある |
ネットワーク |
— 拡張保護 — Exchange サーバーからの発信接続の制限 |
|
ネットワーク、悪性のサーバーへのアクセス |
|||
認証された攻撃者がメールの読み取りと送信を実行できる可能性がある |
ネットワーク、認証 |
||
対象を絞ったメールの読み取り |
ネットワーク |
||
ネットワーク、悪性のサーバーへのアクセス |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。
