Microsoft の定例6月パッチは重要:Follina 以外にも深刻な RCE 情報が満載

Microsoft Patches ‘Follina’ Zero-Day Flaw in Monthly Security Update

2022/06/15 DarkReading — 今日、Microsoft は、6月にスケジュールされたセキュリティ更新プログラムの一環として、Microsoft Support Diagnostic Tool (MSDT) に存在し、広く悪用されているゼロデイ脆弱性 Follina に対するパッチを発行した。このパッチは、同社が製品ポートフォリオ全体の脆弱性に対処するために公開した、合計で 60件のセキュリティ更新プログラムの中で、重要のものとなる。

この Follina (CVE-2022-30190) 以外のものとして、Microsoft が Critical と評価している脆弱性には、Windows NFS における CVE-2022-30136 および、Windows Hyper-V における CVE-2022-30163 、Windows Lightweight Access Protocol における CVE-2022-30139 があるが、いずれもリモートコード実行の脆弱性となる。また、Microsoft は、リモートコード実行のバグを含む脆弱性の大半を Important と評価している。影響を受ける製品には、Windows/Office/Edge/Visual Studio/Windows Defender/SharePoint Server/Windows Lightweight Directory Access Protocolなどが含まれる。

Follina の不具合に対する修正

セキュリティ専門家たちは、Follina 脆弱性 CVE-2022-30190 に対するパッチを、優先的に適用すべきものとしているのは、このバグが活発に悪用されているという理由に基づいている。この、5月30日に公開された MSDT バグは、基本的にマクロが無効化されている場合であっても、攻撃者による Office 文書を介したリモートコード実行を、些細な簡単な方法で許してしまうというものだ。

Microsoft は、攻撃者が侵害したシステム上で、データの閲覧/削除や、プログラムのインストール、新しいアカウントの作成を行うことができる、この脆弱性について警告している。この欠陥を悪用したサイバー攻撃は、5月30日に Microsoft が発表する1ヶ月前から報告されており、その後に、悪用コードが公開されたことに後押しされ、拡大しているという状況にある。

Lares Consulting の Senior Security Consultant である Andy Gill には、「この Follina に対する新しいパッチは、コード・インジェクションを防ぐものだ。しかし、エクスプロイト・コードは依然として msdt.exe を起動させる。したがって、コード実行の主なリスクは軽減されたが、ソフトウェアは依然として起動されたままだ」と述べている。

SANS Institute の Dean of Research である Johannes Ullrich は、「MSDT アップデートをインストールした後も、Microsoft が推奨する緩和策を実施し続けることが、組織にとって良い選択である。月例のロールアップを適用しているユーザーは保護されたが、このパッチは msdt.exe のコード・インジェクションの脆弱性を修正したものだと認識する必要がある。ユーザーが、影響を受けるドキュメントを開いた場合、診断ツール自体は依然として起動している」と述べている。

Ullrich は、「Follina は、この数週間において、活発に悪用されている。Microsoft の回避策は、msdt.exe が起動しないようにするものだが、問題が発生しないのであれば、そのままにしておくべきだろう」と述べている。

今すぐパッチすべき3つの重大な欠陥

Trend Micro の Zero Day Initiative Communications Manager である Dustin Childs は、「この深刻な脆弱性 CVE-2022-30136 について、Microsoft は5月にパッチを適用したが、脆弱なシステム上で攻撃者が特権コードを実行できる NFS バグ CVE-2022-26937 と不気味なほど似ている」とブログの中で表現している。

ZDI は、「攻撃者は特別に細工した RPC コールを、脆弱なサーバーに送信することで、この欠陥を悪用できる。2つのパッチにおける明らかな違いは、6月のアップデートでは NFS V4.1 のバグを修正しているだけなのに対して、5月のアップデートは従来からの2つ NFS バージョンに関係している点にある。6月のパッチが、亜種に対するものなの、失敗したパッチに対するものなのか、それとも、まったく新しい問題に対するのもなのかどうかが不明だ。いずれにせよ、NFS を使用している組織は、この修正プログラムを優先的にテストし、導入する必要がある」と述べている。

Ullrich は、「NFS の深刻なセキュリティ脆弱性に対処するために、Microsoft がアップデートを発行したのは、これで3カ月連続となる。しかし、このコンポーネントはデフォルトで有効になっておらず、今のところ、これらの脆弱性を狙った悪用も見当たらない」と述べている。

研究者たちは、Windows Hyper-Vに存在する、リモートコード実行の脆弱性 CVE-2022-30163 も、早急に適用すべきパッチだと述べている。Immersive の Director of Cyber Threat Research である Kevin Breen は、「この脆弱性を簡単に悪用する方法が発見された場合、攻撃者にとって高い価値を持つ脆弱性になる可能性がある。この欠陥は基本的に、攻撃者がゲスト仮想マシンからホストに移動し、そのシステム上で稼働している全ての仮想マシンにアクセスする方法を提供するものだ。しかし、少なくとも現時点では、この欠陥の悪用は複雑であり、攻撃者は不特定の競合状態を勝ち抜く必要がある」と電子メールでコメントしている。

その一方で、3番目の深刻な脆弱性 CVE-2022-30139 は、6月に Microsoft がパッチを適用した7つの LDAP 欠陥のうちの1つである。ZDI の Dustin Childs は、「この欠陥の悪用は難しいが、ディレクトリ技術関連での問題は増えている。たとえば5月には、Microsoft は 10件の LDAP 欠陥に対してパッチを発行した。この数カ月で、LDAP のバグが大量に発生したことで、脅威者にとって魅力的な攻撃対象になっている」と指摘している。

また、Dustin Childs は、「Windows の Desired State Configuration (DSC) 機能に存在する、情報漏洩の脆弱性 CVE-2022-30148 も重要だ。この欠陥は、ログファイルからユーザー名や平文パスワードを、攻撃者が復元する際に使用できるため、重要なものとなる。DSC は、企業内におけるマシンのコンフィグレーションを維持するために、シスアドが頻繁に使用するものである。おそらく、復元可能なユーザー名とパスワードの組み合わせが求められている。また、このバグは横方向の動きを容易にするので、DSC を使用している組織は Microsoft の修正プログラムを導入する必要がある」と述べている。

もう少し深く掘り下げる

ZDI の分析によると、6月に Microsoft が公開した脆弱性の半分以上は、リモートコード実行の問題であるという。また、12件のアップデートは、特権昇格のバグに対応しており、そのうちのいくつかは、攻撃者がすでにシステム上でアクセス権を持ち、特別に細工したコードを実行する必要があるというものだ。

その一方で Kevin Breen は、組織が対処すべき他の脆弱性をいくつか指摘している。その中には、Microsoft SharePoint Server における2つのリモート実行の脆弱性 CVE-2022-30157/CVE-2022-30158 が含まれており、データの窃取/悪意の文書への置き換えなどの、悪意のアクティビティを許すものになるという。

また、6月のパッチでは、Windows Installer に存在するローカル権限昇格の脆弱性 CVE-2022-30147 も重要であり、Microsoft の深刻度レーティングは 7.8 となっている。Kevin Breen によると、この種の欠陥を攻撃に悪用する脅威アクターが多いため、危険性を裏付ける評価が行われているようだ。

Ivanti の Senior Director of Product Management である Chris Goettl は、セキュリティ・ポリシーを適用するための Windows LSA 機能に存在する、スプーフィングの脆弱性 CVE-2022-26925 に注意を払うよう助言している。この脆弱性は、攻撃者にドメインコントローラーを認証する方法を与え、すべての Windows サーバーに影響を及ぼすという。Microsoft は、セキュリティ更新プログラムを適用する際に、ドメインコントローラーを優先するようユーザー組織に推奨している。

Goettl は、「この脆弱性は、一般に公開されており、また、危殆性も検出されている。この脆弱性自体は、Microsoft が重要だと評価されているだけで、悪用コードの成熟度は未確認とされている。しかし、もう少し掘り下げると、この脆弱性の脅威は大きくなる。この脆弱性について、公開されているコードサンプルは未検証かもしれないが、実際に使用されているエクスプロイトが存在する」と述べている。

また、Goettl は、Patch Tuesday 直後の 6月15日に予定されている、Internet Explorer 11 デスクトップ・アプリの廃止について、Microsoft の FAQ を確認するよう組織に推奨している。この FAQ は、IE11 が無効になる際に、組織にとって予想されることや、Windows の LTSC エンタープライズ・エディションを含む、Windows の各バージョンへの影響について、数多くの質問に答えている。また、IE11 を必要とするレガシー・アプリをサポートするための、Microsoft Edge ブラウザの IE モードの設定などついても、詳細が提供していると Goettl は述べている。

6月の Patch Tuesday では Follina CVE-2022-30190 への対応が行われましたが、Ullrich が言うように、msdt.exe が起動しないようにしても、問題が発生しないのであれば、そのままにしておくべきなのでしょう。6月9日の「Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する」にあるように、Follina に続く DogWalk が出てきたように、その次も出てくる可能性があります。その他にも、Windows NFS の CVE-2022-30136 や、Windows Hyper-V の CVE-2022-30163、LDAP の CVE-2022-30139 などの、対応すべき深刻な脆弱性があります。それらを、ご確認ください。

%d bloggers like this: