Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft 社が緊急の脆弱性 12 件のパッチを公開、うち 9 件はレイヤ 2 トンネリングプロトコルに存在

TALOS Japan
2023年10月26日

Microsoft 社は、同社の広範なソフトウェアとサービスに存在する 104 件の脆弱性を公開しました。月例セキュリティ更新プログラムとしては 7 月以来、最多件数となっています。

特に注目すべき点は、公開された脆弱性の 12 件が「緊急」とみなされ、そのうち 9 件はレイヤ 2 トンネリングプロトコル（L2TP）のリモートコード実行の脆弱性であることです。

このほか、今回修正されている脆弱性で注目しておきたいのは、Microsoft ワードパッドの脆弱性である CVE-2023-36563 と Skype 通信プラットフォームの脆弱性である CVE-2023-41763 の 2 件です。両方ともすでに実際に悪用されていることが明らかになっており、コンセプト実証コードが手に入ることから、パッチが適用されていないバージョンの両ソフトウェアを攻撃者が悪用する可能性が高くなっています。ただし、これらの問題の最大深刻度は「重要」にとどまっています。

レイヤ 2 トンネリングプロトコルの 9 件の脆弱性を攻撃者が悪用するためには、いずれの場合も競合状態に勝つ必要があります。競合状態は、コードの一部分の 2 つのスレッドがデータの同じ部分に同時アクセスするときに起こります。つまり、一方のアクションは他方より早く完了しなければなりません。

今回の事例では、攻撃者がルーティングおよびリモートアクセスサービス（RAS）サーバーに細工されたプロトコルメッセージを送信することでトンネリングプロトコルが悪用され、RAS サーバーマシン上でのリモートコード実行が可能になります。今月 Microsoft 社が公開し、パッチをリリースした脆弱性は以下のとおりです。

• CVE-2023-38166
• CVE-2023-41765
• CVE-2023-41767
• CVE-2023-41768
• CVE-2023-41769
• CVE-2023-41770
• CVE-2023-41771
• CVE-2023-41773
• CVE-2023-41774

リモートユーザーは L2TP で VPN 接続し、マシンとの接続やサイト間の接続を行うことができます。VPN に関する脆弱性は、2018 年に VPNFilter マルウェアが発見されて以来、詳しく調査されるようになりました。発見当時、VPNFilter は世界中で数千台のデバイスに影響を与えています。

Fortinet 社の SSL VPN の脆弱性 CVE-2018-13379 は 2018 年に公開されているにもかかわらず、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）が発表した「2022 年に最も悪用された脆弱性」リストでトップになりました。また米国当局は今年初め、中国政府が支援しているとみられる大規模な APT グループ Volt Typhoon に注意するよう勧告しました。同グループは、米軍ネットワークや重要インフラへの侵入の足がかりを得ようと、ネットワークデバイスを標的にしています。

今回公開された別の「緊急」なリモート実行の脆弱性 CVE-2023-35349 は、Microsoft メッセージキューサービスに存在します。認証されていない攻撃者がこの脆弱性を悪用し、標的のサーバーでコードを実行する可能性があります。

ただし、この脆弱性を悪用できるのは、ユーザーがメッセージキューを有効にしている場合だけです。Microsoft 社のアドバイザリには、マシンで「メッセージキュー」サービスが実行されているかどうかと、TCP の 1801 番ポートがリッスン状態になっているかどうかを確認すべきだと記載されています。

このほかに今月修正された「緊急」の脆弱性の 1 つが CVE-2023-36718 で、これは Microsoft 仮想トラステッド プラットフォーム モジュール（vTPM）に存在するリモートコード実行の脆弱性です。攻撃者がこの脆弱性を悪用して、隔離された実行環境をエスケープする可能性があります。

攻撃条件の複雑さが「高」なので、この脆弱性が悪用される可能性は低いとみなされています。Microsoft 社はその理由について、エクスプロイトには複雑なメモリ整形手法が用いられ、攻撃者は少なくとも最初にゲストとして認証されている必要があるからだと説明しています。

Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは 62486 ～ 62493 および 62508 ～ 62511、Snort 3 シグネチャは 300719 ～ 300722 です。

本稿は 2023 年 10 月 11 日に Talos Group のブログに投稿された「Microsoft patches 12 critical vulnerabilities, nine of which are in Layer 2 Tunneling Protocol」の抄訳です。

• セキュリティ更新プログラム