Windows TCP/IPにゼロクリックRCEの脆弱性、IPv6有効化された全システムに影響:CVE-2024-38063 (CVSS 9.8)
(情報源:BleepingComputer、Securityonline[.]info 、The Register)
マイクロソフトは火曜、月例セキュリティ更新プログラムにおいてWindows TCP/IPスタックにおける重大な脆弱性CVE-2024-38063について開示。このゼロクリックRCEの脆弱性は、8月の月例パッチで修正された88件の脆弱性の中でもその深刻度や潜在的影響といった点で飛び抜けているという。
CVE-2024-38063:悪用される可能性の高いRCE
CVE-2024-38063は整数アンダーフローの問題に起因する脆弱性で、認証されていない攻撃者がこれを利用してバッファオーバーフローを引き起こせば、脆弱なWindows 10、Windows 11、Windows Serverシステム上で任意のコードを実行できる恐れがあるというもの。
この脆弱性は特にIPv6トラフィックを扱う際にTCP/IPへ影響を及ぼすもので、細工したIPv6パケットを繰り返し送信するという複雑度の低い攻撃によって悪用可能とされる。CVSSスコアは9.8、深刻度評価は「Critical(緊急)」となっている上、マイクロソフトのアドバイザリには、「悪用される可能性がより高い」との評価が記されている。またユーザーに何らかの操作をさせることなく悪用可能な点も、潜在的なリスクを高める要因の一つ。
「ワーマブル」な脆弱性
この脆弱性は悪用にユーザー操作を必要とせず、また認証されていない遠隔の攻撃者であっても特別に細工したIPv6パケットを送りつけることさえできれば昇格済みの権限でコードを実行できるようになる。Trend MicroのZero Day Initiativeで脅威アウェアネス部門長を務めるDustin Childs氏は同脆弱性を「ワーマブル」だと指摘しており、今月の月例パッチで修正された中でも特に深刻な脆弱性の1つに挙げている。同氏はまた、IPv6を無効化すれば悪用を防げることにも触れつつ、「しかしIPv6は本当にあらゆるものに関してデフォルトで有効化されている」と述べて潜在的な影響範囲の広さへの懸念を表した。
可及的速やかなパッチ適用を
CVE-2024-38063の公開PoCエクスプロイトはまだ出回っていないものの、RCEに繋がり得る点や攻撃条件の複雑性が低い点などを踏まえると、パッチ適用が遅れたシステムは重大なリスクに晒されることになってもおかしくない。利用組織には、影響を受けるすべてのサーバーに関して優先的にセキュリティアップデートを適用することが推奨される。