Windows TCP/IP Vulnerability CVE-2024-38063: Researchers Hold Back Exploit Details Due to High Risk
2024/08/14 SecurityOnline — 先日の August Patch Tuesday で Microsoft は、Windows TCP/IP スタック内の深刻なセキュリティ脆弱性 CVE-2024-38063 (CVSS:9.8) に緊急対応した。この脆弱性は、企業環境に対する深刻な脅威として分類されており、最小限の労力で攻撃者が、リモート・コード実行を可能にするというものだ。
この脆弱性は、ネットワーク・スタック内でバッファ・オーバーフローを引き起こす、微妙だが危険なエラーである整数アンダーフローの欠陥に起因している。この脆弱性の悪用に成功した攻撃者は、脆弱なシステムに特別に細工した IPv6 パケットを送信し、リモート・コード実行 (RCE) を達成する可能性を持つ。影響を受けるシステムとして挙げられるのは、Windows 10/Windows 11/Windows Server エディションであり、膨大な数のデバイスにおいてサイバー攻撃の可能性が生じている。
脆弱性 CVE-2024-38063 の特異な点として指摘されるのは、ワームによる攻撃が可能だと分類されていることだ。つまり、攻撃者が内部ネットワーク内の、たった1台のデバイスを一度だけ侵害したとすると、この脆弱性は、接続された他のデバイスに悪意のコードを急速に伝播させる可能性を持つということだ。この脆弱性が、チェックされない状況で拡散すると、数分のうちに企業内の複数のシステムを危険にさらすケースも生じるため、大規模な侵害にいたる可能性が高いとされる。
事態の深刻さを受け、サイバー・セキュリティ・コミュニティは厳戒態勢を敷いている。この脆弱性 CVE-2024-38063 を報告した、サイバー・セキュリティ Cyber Kunlun の研究者である Wei は、この欠陥に関する詳細な情報や PoC エクス・プロイトコードの公開を、現時点では控えているという。そして、Wei は X プラットフォーム上で、「このバグは、fw がパケットを処理する前に発生する。そのため、詳細の公表を止めている」と表明している。
Wei の慎重なアプローチが浮き彫りにするのは、この脆弱性がもたらす計り知れない危険性である。技術的な詳細の公開を遅らせるWei の狙いは、脅威アクターたちが CVE-2024-38063 の悪用に関してリバース・エンジニアリングするリスクを最小限に抑え、組織がシステムを保護するための時間を稼ぐことにある。
Microsoft は公式のセキュリティ情報において、この事態の緊急性を強調し、すべてのユーザーに対して提供されたパッチを遅滞なく適用するよう勧告している。同社は、攻撃ベクターが単純であることを強調し、特別に細工した IPv6 パケットを繰り返し送信するだけで、複雑度の低いエクスプロイトを簡単に実行できると指摘している。同様の脆弱性は過去にも悪用されており、今回の CVE-2024-38063 が攻撃者の格好の標的になる可能性は驚くほど高いという。
パッチを直ちに導入できない組織に対して Microsoft が推奨するのは、一時的な安全策として IPv6 を無効火することだ。ただし、Windows Vista/ Windows Server 2008 以降のバージョンにおいて、IPv6 が必須のコンポーネントであることにも注意を促している。IPv6 を無効化すると、重要な Windows コンポーネントが誤動作し、修復プロセスが複雑化する可能性があるという。
話題沸騰の、Windows TCP/IP における脆弱性 CVE-2024-38063 の続報です。第一報は 2024/08/13 の「Windows の脆弱性 CVE-2024-38063 (CVSS 9.8) が FIX:IPv6 に影響を及ぼすゼロクリックの RCE」ですが、今日の記事では “ワームによる攻撃が可能” という追記があります。いま一度、8月の Patch Tuesday の適用を、ご確認ください。よろしければ、Windows で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.