メガパッチチューズデー:マイクロソフトは火曜日、Windows Serverソフトウェアに存在するワーム化可能な脆弱性を修正しました。この脆弱性はリモートから悪用され、権限なくマシンを完全に乗っ取られる可能性があります。これは、レドモンドが本日修正した数百件のセキュリティバグの一つで、オラクル、アドビ、VMware、SAP、Googleもこれに続きました。
マイクロソフトは今月の月例パッチで123件の脆弱性を修正しました。CVEリストに登録されているセキュリティ上の欠陥のうち、約18件は「重大」と評価されており、ユーザーの操作なしにリモートコード実行(RCE)が可能となる可能性があります。
これらの脆弱性には、Windows Serverが受信DNSリクエストを処理する方法に起因し、ワーム化可能なリモートコード実行の脆弱性(CVE-2020-1350、別名SIGred)が含まれます。Trend Zero Day Initiative(ZDI)のダスティン・チャイルズ氏によると、この脆弱性は、特別に細工されたDNSリクエストを脆弱なサーバーに送信することで悪用され、最終的にはローカルシステムアカウントレベルで任意の悪意のあるコードの実行を引き起こします。このコードは、スパイウェアのインストールやバックドアの開設などを引き起こす可能性があります。
つまり、ゲームオーバーだ。マシンを完全に制御できる。チャイルズ氏はまた、この脆弱性は典型的なヒープベースのバッファオーバーフローであり、「少なくとも影響を受けるDNSサーバー間ではワーム化しやすい」と述べた。
「マイクロソフトは、回避策として、サーバーが処理するTCPパケットのサイズを制限するレジストリ編集も提案していますが、このレジストリ変更による潜在的な副作用については言及していません」と彼は続けた。「攻撃ベクトルには非常に大きなDNSパケットが必要となるため、UDP経由では攻撃を実行できません。Windows DNSサーバーは通常、ドメインコントローラーでもあることを考えると、できるだけ早くパッチを適用してください。」
さらに、このバグは20年近く前から存在していたようです。この欠陥を発見し、Microsoftに報告したCheck Pointの研究者は、この脆弱性は2003年まで遡るWindows Serverビルドに存在していたと推定しています。
「DNS セキュリティは多くの組織が監視したり、厳重に管理したりするものではないため、これは 1 台の侵害を受けたマシンが『スーパー スプレッダー』となり、最初の攻撃から数分以内に組織のネットワーク全体に攻撃が広がる可能性があることを意味します」と CheckPoint は述べています。
SAP NetWeaverは、アクセスできる人なら誰でも管理者アカウントを付与する仕組みになっています。パッチを当てた方が良いでしょう。
続きを読む
CVE-2020-1463にも注意が必要です。この権限昇格バグを悪用するエクスプロイトコードは既に公開されていますが、実稼働システムへの攻撃はまだ報告されていません。
チャイルズ氏はまた、Outlook のリモートコード実行バグである CVE-2020-1349 は管理者が優先的にテストしてパッチを適用すべきだと述べている。
「この脆弱性の特徴は、プレビュー ウィンドウで電子メールを表示するだけでバグが引き起こされるという点です」と彼は指摘しました。
その他の重大な RCE バグは、.NET (CVE-2020-1147)、DirectWrite (CVE-2020-1409)、GDI+ (CVE-2020-1435) で見つかりました。
Hyper-V には、今月、リモートコード実行とゲストからホストへのエスケープを可能にする重大な脆弱性が6件確認されました。脆弱性は CVE-2020-1032、CVE-2020-1036、CVE-2020-1040、CVE-2020-1041、CVE-2020-1042、CVE-2020-1043 です。これらの脆弱性はすべて、サーバーの RemoteFX vGPU(存在する場合)を介して、ゲストで悪意のあるアプリケーションを開くことで悪用されます。
「RemoteFX vGPU は Windows Server 2019 で非推奨となり、お客様には RemoteFX vGPU の代わりに Discrete Device Assignment (DDA) を使用することをお勧めします。DDA は Windows Server 2016 で導入されました」と Microsoft は述べています。
リモートデスクトップクライアントにおけるリモートコード実行(RCE)は、誰もが注目するべき脆弱性です:CVE-2020-1374。この脆弱性にパッチを適用していない状態で悪意のあるサーバーにログインすると、ゲームオーバーとなります。
残りの脆弱性には、ブラウザのスクリプトバグ、Officeの不具合、そして深刻ではないWindowsの脆弱性など、よくあるものが含まれます。これらはすべて迅速にテストされ、修正される必要があります。
Adobeが5つの修正を公開
Adobe ソフトウェアのユーザーは、Creative Cloud (権限昇格 3 件、任意のファイル書き込み 1 件)、Media Encoder (コード実行 1 件、情報漏洩 1 件)、Genuine Service (権限昇格の脆弱性 2 件)、ColdFusion (権限昇格の脆弱性 2 件)、および Download Manager (コード実行の脆弱性 1 件) のセキュリティ更新プログラムを必ずインストールしてください。
SAPは偵察だけではない
管理者は NetWeaver RECON のセキュリティホールの修正を優先する必要がありますが、SAP からは他の修正もいくつか提供されています。
パッチには、NetWeaverの情報漏洩脆弱性(CVE-2020-6285)に加え、Disclosure Management(CVE-2020-6267)、Business Objects(CVE-2020-6281、CVE-2020-6276)、NetWeaver AS JAVA(CVE-2020-6282)、Business Objects BI(CVE-2020-6278、CVE-2020-6222)における中程度の脆弱性がいくつか修正されています。また、NetWeaverの情報漏洩脆弱性(CVE-2020-6280)も修正されました。
Androidのバグが多数
Androidデバイスでは、リモートコード実行の脆弱性に対する重要な修正が合計7件あります。これらの脆弱性は、Media Framework(CVE-2020-9589)、Android System(CVE-2020-0224、CVE-2020-0225)、Broadcomコンポーネント(CVE-2019-9501、CVE-2019-9502)、Qualcommコンポーネント(CVE-2020-3698、CVE-2020-3699)に存在します。
最初の3つの脆弱性は、すべてのAndroidデバイス向けの2020年7月1日の基本セキュリティパッチで修正される予定です。QualcommとBroadcomのバグは、関連デバイス向けのレベルである2020年7月5日パッチの一部に分類されています。
また、ベース Android アップデートでは、フレームワークの権限昇格の脆弱性 2 件 (CVE-2020-0122、CVE-2020-0227)、メディア フレームワークの権限昇格のバグ 1 件 (CVE-2020-0226)、および Android システムの情報漏洩の脆弱性 (CVE-2020-0107) も修正されました。
Google ブランドのハードウェアを使っている人は今すぐにアップデートを入手する必要がありますが、それ以外の人はそれぞれのベンダーがパッチをリリースするまで待つ必要があります。
そして残りは...
これら 4 つのベンダーだけだと思うかもしれませんが、VMware からも複数のアップデート (こちら、こちら、こちら) が提供されており、Oracle (最高スコアは Oracle SD-WAN Aware と Edge の CVE-2020-14701 と CVE-2020-14606 で、それぞれ 10.0) と Chrome (重大なバグが 1 件、重大度の高いバグが 7 件、中程度のバグが 8 件、低リスクに分類されたバグが 10 件) からも数百件の脆弱性が修正されています。®
