Microsoft セキュリティ更新プログラム(月例):2022 年 6 月に公開された脆弱性と、対応する Snort ルール
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 55 件の脆弱性についての情報を公開しました。これらの脆弱性のうち 1 件は「緊急」、40 件は重大度「高」、残りは「中」と評価されています。
最も深刻な問題は CVE-2022-30136
です。これは、Windows ネットワーク ファイル システム(NFS)サービス(バージョン NFSv4.1)のリモートコード実行の脆弱性で、重大度スコアは満点に近い 9.8 点です。ネットワーク ファイル システム(NFS)に対して未認証の細工された呼び出しを行うことでこのネットワークの脆弱性をエクスプロイトすることができ、リモートコードが実行される危険性があります。この脆弱性を軽減するには、脆弱性のあるバージョン NFSv4.1 を無効にしてから、NFS サーバーを再起動するかマシンを再起動してください。
Microsoft SharePoint サーバーにはリモートでコードが実行される脆弱性 CVE-2022-30157 があり、重大度スコアは 8.8 点です。この脆弱性をエクスプロイトするには、攻撃者が認証される必要があります。脆弱性のある SharePoint サーバー上でページを作成するための適切な権限も必要です。標的となったユーザーが特定のページをクリックすると、標的のサーバー上でリモートからコードが実行される可能性があります。攻撃者が、サンドボックス化されたコードサービスが有効になっているサーバーにもアクセスできる場合、Web サービスアカウントのコンテキストでコードが実行される恐れがあります。
このほか、CVE-2022-30153 と CVE-2022-30161 の 2 件も重大度の高い脆弱性です。Windows Lightweight Directory Access Protocol(LDAP)に存在する問題であり、リモートでコードが実行される危険性があります。攻撃者がこれらの脆弱性をエクスプロイトする方法ですが、まず標的のネットワークで認証されたユーザーが、標的となったマシン上の LDAP クライアントを使用して悪意のある LDAP サーバーに接続するように仕向けます。次に、細工された応答をクライアントに送信します。これで脆弱性がエクスプロイトされ、標的の LDAP クライアント アプリケーションのコンテキスト内で任意のコードの実行が可能になります。
CVE-2022-30141 も、Windows Lightweight Directory Access Protocol(LDAP)で見つかった重大度の高い脆弱性です。MaxReceiveBuffer LDAP ポリシーのデフォルトよりも高い値を設定したユーザーがこの脆弱性の影響を受けます。脆弱性をエクスプロイトするには攻撃対象の環境で準備が必要ですが、エクスプロイトが成功すると、SYSTEM アカウントのコンテキストで攻撃者のコードが実行されてしまいます。
Microsoft Kerberos には重大度の高い 2 件の脆弱性があります。まず CVE-2022-30165 ですが、これは特権昇格の脆弱性です。Remote Credential Guard(RCG)および Credential Security Service Provider(CredSSP)機能で構成されている Windows Server でアクティブ化された Windows サーバーに影響を与えます。認証されていない攻撃者がこの脆弱性をエクスプロイトして特権を昇格させ、ネットワーク上の Credential Security Service Provider(CredSSP)を介して Remote Credential Guard(RCG)接続が確立されたときに、Kerberos ログインプロセスのスプーフィングを実行する可能性があります。
もう 1 件の CVE-2022-30164 は、Kerberos AppContainer Security 機能がバイパスされる脆弱性です。権限の低い攻撃者がアプリケーションコンテナ内で悪意のあるスクリプトを実行してサービスチケットを要求し、サービス権限を昇格させる可能性があります。その結果、アプリケーションコンテナの実行環境よりも高い整合性レベルで攻撃者がコードを実行するか、リソースにアクセスする恐れがあります。
Windows Hyper-V にも重大な脆弱性 CVE-2022-30163 があり、リモートでコードが実行される可能性があります。この脆弱性をエクスプロイトするには、細工されたアプリケーションを Hyper-V ゲスト上で実行する必要があります。攻撃が成功すると、Hyper-V ゲストのセキュリティ境界を越えて、Hyper-V ホストの実行環境で任意のコードを実行できるようになります。
CVE-2022-30160 も特権昇格の脆弱性で、Windows Advanced Local Procedure Call(ALPC)に存在します。攻撃者が競合状態に勝つと、Windows NT カーネルの ALPC で解放済みメモリ使用(use-after-free)状態になります。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、59967、59968、59971、59972 です。Snort 3 ルール 300201 と 300202 もあります。
本稿は 2022 年 06 月 14 日に Talos Group
Tags:
