CISA KEV 警告 24/10/08：Qualcomm の脆弱性 CVE-2024-43047 などを登録

U.S. CISA adds Windows and Qualcomm bugs to its Known Exploited Vulnerabilities catalog

2024/10/09 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、以下の３件の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した：

• CVE-2024-43047：Qualcomm の複数のチップセットにおける Use-After-Free 脆弱性
• CVE-2024-43572：Microsoft Windows 管理コンソールにおけるリモート・コード実行の脆弱性
• CVE-2024-43573：Microsoft Windows MSHTML プラットフォームにおける成りすましの脆弱性

今週のことだが、Qualcomm の製品に存在する 20件の脆弱性が対処された。その中には、KEV カタログに追加された ゼロデイ脆弱性 CVE-2024-43047 (CVSS：7.8) も含まれている。このメモリ破壊の脆弱性は、DSP (Digital Signal Processor) サービスに存在し、Use-After-Free のバグに起因するものであり、数十種類のチップセットに影響を及ぼすとされる。

CodeLinaro の DSP kernel commit には、「現時点において、未使用の DMA ハンドル FD を用いて、DSP はヘッダー・バッファを更新する。つまり、put_args セクションで、ヘッダー・バッファに DMA ハンドル FD が存在する場合に、対応するマップが解放される。しかし、ヘッダー・バッファは、ユーザーに対して符号なし PD で公開されるため、ユーザーは無効な FD を更新できてしまう。つまり、この無効な FD が、すでに使用されている FD と一致する場合に、use-after-free (UAF) の脆弱性が生じる恐れがある。解決策として、DMA FD に DMA ハンドル参照を追加し、その参照が見つかった場合にのみ、FD のマップが解放されるようにする」と記載されている。

この脆弱性は、Google Project Zero のセキュリティ研究者 Seth Jenkins と、Amnesty International Security Lab の Conghui Wang により報告されたものである。Seth Jenkins が推奨するのは、Android デバイス上の問題を、可能な限り早急に解決することである。

Google TAG (Threat Analysis Group) は、CVE-2024-43047 に対する限定的な標的型攻撃は発生している可能性があると主張しており、さらに Conghui Wang も、実環境での積極的な悪用を認めている。

研究者たちは、脆弱性 CVE-2024-43047 を悪用する攻撃の詳細について、なにも公表していない。しかし、今回のレポートを提供しているのは、商業スパイウェア・ベンダーに関連する調査で実績を積み上げているベンダーである。

KEV カタログに新たに追加された、Microsoft の２つの脆弱性 CVE-2024-43572／CVE-2024-43573 は、どちらも 2024年10月の Microsoft Patch Tuesday のセキュリティ更新プログラムで対処されている。

同社は、２つの脆弱性について、実際の悪用を観測したと認めている。

• CVE-2024-43572 (CVSS：7.8)：Microsoft 管理コンソールにおける、リモート・コード実行の脆弱性
  この脆弱性は、ユーザーが悪意の MMC スナップインをロードした場合に、リモートの攻撃者にコード実行をゆるす可能性があるものだ。ただし、攻撃にはソーシャル・エンジニアリングが必要であり、限定的である可能性が高いが、管理者は速やかにアップデートを適用し、潜在的な被害を軽減すべきである。
• CVE-2024-43573 (CVSS：6.5)： Windows MSHTML プラットフォームにおける成りすましの脆弱性
  この脆弱性は、中程度の深刻度と評価されているが、以前に APT グループである Void Banshee  により悪用された、修正済みの脆弱性と類似している。この類似性は、当初のパッチが不十分であった可能性を示唆しているため、このアップデートの迅速なテストと展開が推奨される。

CISA は、連邦機関に対して、2024年10月29日までに、これらの脆弱性を修正するよう命じている。

Microsoft の２つの脆弱性 CVE-2024-43572／CVE-2024-43573 は、文中にもあるように、2024年10月の Patch Tuesday で対処されたものです。2024/10/08 の「Microsoft 2024-10 月例アップデート：５件のゼロデイを含む 118件の脆弱性に対応」で指摘されているように、それ以前から悪用は検知されていたようであり、CISA KEV にも直ちに登録されました。ご注意ください。