Microsoft Azure Site Recovery の脆弱性が FIX:2件の RCE と 30件の権限昇格に対応

Microsoft fixes dozens of Azure Site Recovery privilege escalation bugs

2022/07/12 BleepingComputer — Microsoft は、Azure Site Recovery suite に存在する、権限昇格/リモート・コード実行などの 32件の脆弱性を修正した。Azure Site Recovery は、なんらかの問題が検出されたときに、自動的にセカンダリ拠点にワークロードをフェイル・オーバーさせる、ディザスター・リカバリー・サービスである。Microsoft July 2022 Patch Tuesday で修正された 84件の脆弱性のうち、Azure Site Recovery の脆弱性は、3分の1以上を占めている。

Azure Site Recovery では 32件の脆弱性が修正されたが、そのうちの2件がリモート・コード実行に関するものであり、また、30件が権限昇格に関する脆弱性だった。July 2022 Patch Tuesday では、SQL インジェクションの脆弱性が、権限昇格の脆弱性の大半を引き起こしたと述べられている。

DLL ハイジャックの脆弱性

Microsoft は、Tenable が発見した DLL ハイジャックの脆弱性 CVE-2022-33675 についても言及している。この DLL ハイジャックの脆弱性 CVE-2022-33675(CVSS:7.8)は、Tenable の研究者たちにより発見され、2022 年 4 月 8 日に Microsoft に報告されている。

DLLハイジャック攻撃とは、Windows OS がアプリケーションの起動時に必要な DLL を検索/ロードするフォルダに、安全ではない権限が設定されているという脆弱性を利用して行われるものだ。

脅威アクターは、この攻撃を実行するために、Azure Site Recovery によりロードされる、通常の DLL と同じ名前を使用して、カスタムで悪意のある DLL を作成する。そして、この悪意の DLL は、Windows が検索するフォルダに格納され、アプリケーションの起動時に読み込まれて実行される。

Tenable によると、ASR の cxprocessserver サービスは、デフォルトで SYSTEM 権限で実行され、その実行ファイルは、任意のユーザーに書き込み権限を許可するように、誤って設定されたディレクトリに格納されているとのことだ。

Wrong permissions on ASR directory
Wrong permissions on ASR directory (Tenable)

それにより、ユーザーに対して、悪意の DLL (ktmw32.dll) をディレクトリに仕込ませることが可能になる。そして、cxprocessserver プロセスが起動すると、悪意の DLL がロードされ、SYSTEM 権限でいずれかのコマンドが実行されるようになる。

Tenable の James Sebree は、「DLL ハイジャックは、かなり時代遅れの手法であり、セキュリティ境界を越えることができないため、その影響は非常に限定的であることが多い。しかし、今回のケースでは、明確なセキュリティ境界を越えることが可能であり、攻撃者を SYSTEM 権限に昇格させることが実証された。このような古い技術であっても、この種の環境では複雑さが増すため、クラウド空間に新しい家を見つける傾向が高まっていることが示唆される」と説明している。

潜在的な影響

攻撃者は、対象システムの管理者権限を取得することで、OS のセキュリティ設定の変更/ユーザーアカウントの変更/システム上の全てのファイルへの無制限アクセス/ソフトウェアのインストールなどを自由に行うことが可能になる。ASR が、クラウドやサービスの継続利用に依存する企業環境で、広く利用されていることを考えると、ネットワーク侵入における重要な弱点となる可能性がある。

Tenable は、ランサムウェア攻撃のシナリオとして、脅威アクターが CVE-2022-33675 を悪用してバックアップを消去し、データ復元を不可能にする可能性を指摘している。ただし、これは数ある可能性のうちの一つに過ぎない。

今月に Microsoft は、ASR で修正された全ての脆弱性に関するアドバイザリも公開しており、impact のセクションで SQL インジェクションとリモート・コード実行について言及している。これらの攻撃には、VM 上の管理者認証が必要となる。したがって、CVE-2022-33675 は、影響の範囲拡大には使用できないが、ターゲット上での認証情報の取得に役立つ可能性がある。

全てのセキュリティ脆弱性に対処するために、今月のアップデートを必ず適用してほしい。パッチを適用できない場合は、影響を受けるディレクトリの書き込み権限設定を手動で変更することで、リスクを軽減できる。

先ほど、Microsoft July 2022 Patch Tuesday の記事をポストしましたが、それに関連するおのとして、7月は Microsoft Azure Site Recovery の 32件の脆弱性が注目されているようです。そのうちの2件がリモート・コード実行に関するものであり、また、30件が権限昇格に関する脆弱性とのことです。July 2022 Patch Tuesday では、SQL インジェクションの脆弱性が、権限昇格の脆弱性の大半を引き起こしたようです。それと、Tenable が発見したという、DLL ハイジャックの脆弱性も気になりますね。