-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
毎月第2火曜日の「パッチチューズデー」は、マイクロソフトとその他多数のベンダーが自社のソフトウェアに影響を与える脆弱性を公表する、毎月恒例のイベントです。
昨日(9日)は、多くの主要ベンダーが自社製品の脆弱性修正プログラムをリリースする、(良くも悪くも)有名な「パッチチューズデー」でした。多くのベンダーが、主にマイクロソフトのリリースに注目する中、弊社のFlashpoint VulnDBチームは例によって、あらゆるベンダーによるリリースを注意深く追跡・調査し、お客様に統一された形式のアラートを提供しました。新たな脆弱性合計220件が同チームによって調査され、これとは別にVulnDBエントリ562件に情報が追加され、残る深刻度の比較的低い問題は水曜日に調査されました。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年5月10日付)を翻訳したものです。
この日、最初にセキュリティ修正プログラムをリリースしたベンダーはSAPで、新たな脆弱性は15件ありました。この中に重大なものとして突出したものはなく、最も深刻なものはCVE-2023-32111でした。これは、SAP PowerDesigner Proxyにおけるリモートでのサービス拒否につながる恐れがあります。それでもSAPシステムのシステム管理者には、修正された問題を評価し、自らの具体的な環境に対する影響や、パッチ対応の優先順位の決め方を判断することが求められます。
この次に続いたベンダーはシーメンスで、こちらも新たな脆弱性合計15件に加え、既存の問題へのアップデートを多数リリースしました。中でも突出していた3件の脆弱性は、認証済みリモートコード実行につながる恐れのある、Siemens Siveillance Video製品における脆弱性2件(CVE-2023-30898とCVE-2023-30899)と、Siemens SCALANCE LPE9403製品における、認証済みリモートコマンドインジェクションの脆弱性(CVE-2023-27407)です。
続いて同じ日のうちに、私たちはMozilla(新たな脆弱性31件)、ロックウェル・オートメーション(同3件)、Citrix(同2件)、シュナイダーエレクトリック(同2件)、AMD(同26件)、インテル(同85件)からのリリースを確認し、その後ようやく、この日の主役ベンダー2社であるアドビとマイクロソフトが、それぞれ14件、38件(アップデート含めると49件)の新たな脆弱性を対象とする、セキュリティアドバイザリをリリースしました。
アドビが今月修正した脆弱性の影響を受けたのは、Adobe Substance 3D Painterのみです。もし、この製品をご利用であれば、今回の修正プログラムの一部はコード実行につながり得る脆弱性に対処したためアップデートの適用は優先して行うべきである、と認識してください。
今回のパッチチューズデーで対処された残りの脆弱性のうち、最も突出した2件は、マイクロソフトが修正したゼロデイ2件(CVE-2023-29336とCVE-2023-24932)でした。いくつかのメディアやセキュリティベンダーが不正確にも、これらにCVE-2023-29325を加えて「マイクロソフトは3件のゼロデイ脆弱性に対処した」と主張していることに、ご注意ください。
マイクロソフトのゼロデイ2件
セキュリティ機能「セキュアブート」回避の脆弱性
マイクロソフトが対処した1つ目のゼロデイはCVE-2023-24932です。これはブートマネージャにおけるローカルの脆弱性であり、保護メカニズム「セキュアブート」を回避することを可能にするものです。マイクロソフトによると、この脆弱性を「BlackLotusブートキットがCVE-2022-21894を悪用するために」盛んに悪用しているとのことです。注意すべきは、この脆弱性を悪用するには、攻撃者はシステムへの物理的アクセスまたは管理者権限を持っていなければならないということです。最も妥当な攻撃ベクターは、悪意のAdministratorではなく、別の脆弱性の悪用またはシステムの侵害と管理者権限の獲得を許した脆弱性チェーンを通じて、システムに埋め込まれた有害コードであると考えられます。
この脆弱性に対処するパッチは入手可能ですが、極めて重要なのは、修正プログラム適用後、保護を完全に実装するためには追加のアクションが必要だということに注意することです。また、マイクロソフトは「この修正プログラムが適切に有効化されなければ、障害が発生したりシステムの起動が妨げられたりする恐れが存在」すると警告しています。詳細は、マイクロソフトが提供する付属のガイダンス資料の中で確認できます。
マイクロソフトは「保護の展開を容易にする追加のアップデートオプションを提供する」ため、2023年7月11日に第2のリリースを提供する予定だと述べています。そして、「CVE-2023-24932の修正をデフォルトで有効にし、ブートマネージャの失効を全てのWindowsデバイス上で強制する」ため、2024年第1四半期中に修正プログラムの最終バージョンをリリースする計画です。
Win32kの権限昇格の脆弱性
マイクロソフトが対処した2つ目のゼロデイはCVE-2023-29336です。これは、Win32kコンポーネントにおけるローカル権限昇格の脆弱性で、SYSTEM特権の獲得を可能にするものです。活発な悪用や標的の範囲に関する詳しい情報は、現在のところ入手できません。私たちのチームは、この脆弱性を積極的に注視するとともに、さらなる詳細を調査しているところです。
言及に値する他の脆弱性
これら2つのゼロデイに加え、以下の脆弱性は、修正済みの脆弱性に関して現在入手できる曖昧な情報を踏まえると、注視と早急な対処に値するものとして突出しています。
CVE-2023-29325
以前に言及したように、これは、一部の情報源がゼロデイとして不正確に言及している脆弱性です。これはゼロデイではありません。マイクロソフトのセキュリティ情報は同脆弱性を、“Publicly Disclosed(公に開示済み): Yes”としつつ、“Exploited(悪用済み): No”としています。
つまり、脆弱性に関する詳細情報がセキュリティ情報のリリース前に公開された(すなわち、非協調的開示)ということですが、ゼロデイとして盛んに悪用されたわけではありません。とはいえ、同脆弱性はマイクロソフトから「悪用の可能性大(Exploitation More Likely)」に指定されているため、優先して対処すべき脆弱性の1つです。この問題をマイクロソフトに報告したWill Dormann氏は、以下のように、自らの調査結果に関するより詳しい情報を共有しました。
Merely referencing {00000315-0000-0000-C000-000000000046} or {00000316-0000-0000-C000-000000000046} as a COM object in a Rich Text email would cause Outlook to crash.
I handed off to MSRC before further investigating exploitability beyond a denial of service. pic.twitter.com/ZdPuseSj6e— Will Dormann (@wdormann) May 9, 2023
見たところ、2つのCLSID({00000315-0000-0000-C000-000000000046} または {00000316-0000-0000-C000-000000000046})をリッチテキストのメール内でCOMオブジェクトとして参照するだけで、Outlookがクラッシュする模様です。さらなる調査の結果、マイクロソフトは、これがコード実行の影響を可能性として秘め、さらにプレビューウィンドウからでもトリガーできると結論づけました。回避策として、マイクロソフトは平文フォーマットでメールを読むことを推奨しています。
CVE-2023-24902
これは、Win32kコンポーネントにおける別の権限昇格の脆弱性です。これは、CVE-2023-29336とは異なり現在盛んに悪用されてはいないものの、マイクロソフトにより「悪用の可能性大(Exploitation More Likely)」として位置付けられています。盛んに悪用されている脆弱性と同様、これはローカルの攻撃者によるSYSTEM特権獲得を許す恐れがあります。
CVE-2023-24954
これは、Microsoft SharePoint Serverにおける情報開示の脆弱性です。認証は必要であるものの、マイクロソフトは、同脆弱性が「ユーザートークンと、慎重な扱いが求められ得る他の情報」を開示するために悪用される可能性があるといいます。この脆弱性も、マイクロソフトから「悪用の可能性大(Exploitation More Likely)」として位置付けられています。
CVE-2023-24941
優先的に扱う価値のある最後の脆弱性は、ネットワークファイルシステム(NFS)サービスに存在し、特別に細工されたリクエストによるリモートコード実行に悪用できる可能性があります。マイクロソフトは、 NFSV2.0とNFSV3.0は影響を受けないと明言しています。この脆弱性も、悪用の可能性大と見なされています。
マイクロソフトは、CVSSスコアがより高い他の脆弱性に対処しました(例えば、Bluetooth ドライバー、LDAP機能、Microsoft Office、SSTP《Secure Socket Tunneling Protocol》、PGM《Pragmatic General Multicast》機能、動画拡張子AV1における脆弱性)。しかし、これらはいずれも「悪用の可能性低(Exploitation Less Likely)」に位置付けられました。これは、先述の脆弱性のエクスプロイトが出現することはないという保証として捉えるべきでなく、よって、これらも優先的に扱うことがやはり賢明です。
今後数日のうちに、外部の調査と弊社社内チームによる調査の両方を基に、上記のエントリの多くについて新たな詳細情報を多数追加する予定です。
Flashpoint, VulnDBについて
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
なお、上記ブログ記事にはDDWの情報は盛り込まれていませんが、Flashpointをご利用のお客様向けには、DDWでのエクスプロイト情報を含めた脆弱性関連のインテリジェンスレポートを、定期的に(緊急なものについては随時)提供しています。
これらは、パッチ適用に係る意思決定を支援する上で、ご活用いただいております。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
詳しくは以下のフォームからお問い合わせください。
Writer
Tamura株式会社マキナレコード インテリジェンスアナリスト・翻訳者
訳者
一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。
