パッチ チューズデーMicrosoft の Windows Autopatch が多くの注意事項付きでリリースされたため、パッチ チューズデーはそれほどエキサイティングではなくなるかもしれないという懸念があったにもかかわらず、今月の第 2 火曜日には、4 件の重大なバグと現在悪用されている 1 件のバグを含む、84 件のセキュリティ修正が提供されました。
まず、悪意のある攻撃者が既に発見し、悪用している脆弱性から見ていきましょう。CVE-2022-22047は、Windowsのクライアント・サーバー・ランタイム・サブシステム(CSRSS)における権限昇格の脆弱性です。Microsoftはこれを「重要」なセキュリティ問題と位置付けており、複雑さは低く、悪用に必要な権限も低いとしています。セキュリティアドバイザリでは、「この脆弱性を悪用した攻撃者は、SYSTEM権限を取得する可能性があります」と説明されています。
しかし、レドモンドの常套手段であるように、このバグが実際にどれほど広範囲に悪用されているかについては、これ以上の詳細を明らかにしていない。おそらく、Windowsシステムに侵入したマルウェア、あるいは侵入者や内部不正者が、システム管理者レベルの権限を取得してシステムを完全に乗っ取るために、この脆弱性を悪用しているのだろう。
Zero Day Initiative は、7 月のセキュリティ パッチの概要で、より詳しい内容を提供しました。
Office でインターネット ソースのマクロをデフォルトでブロックする際の遅延については、ここで説明しました。
Immersive Labsのサイバー脅威研究ディレクターのケビン・ブリーンは、 The Registerへの電子メールで、攻撃者がこのバグを悪用して権限を通常のユーザーからシステムレベルのアクセスに昇格した場合に何が起こるかについて説明した。
「このレベルのアクセス権限があれば、攻撃者はエンドポイント検出ツールやセキュリティツールといったローカルサービスを無効にすることができます」と彼は述べた。「SYSTEMアクセス権限があれば、Mimikatzのようなツールを展開して、さらに多くの管理者アカウントやドメインレベルのアカウントを復元し、脅威を急速に拡散させることもできます。」
重大な Windows RCE 脆弱性
4つの重大なリモートコード実行の脆弱性について見てみましょう。Windows グラフィック コンポーネントの RCE である CVE-2022-30221 は、CVSS の深刻度評価で 10 点満点中 8.8 と最も高い評価を受けました。Microsoft は、この脆弱性が悪用される可能性は「低い」と評価しました。これは、攻撃者が被害者のシステムにマルウェアを投下するためには、悪意のある RDP サーバーに接続するようにターゲットを説得する必要があるためです。
CVE-2022-22029とCVE-2022-22039は、Windowsネットワークファイルシステム(NFS)における2つの深刻な脆弱性です。これらの脆弱性は、過去数ヶ月にわたり深刻なリモートコード実行(RCE)脆弱性への対策が必要とされてきました。7月の修正はCVSSスコアが前月に比べて低下しましたが(最新の修正はそれぞれ8.1と7.5で、前月の9.8から低下しました)、以前のNFSの脆弱性と同様に、認証されていない攻撃者がネットワーク経由で悪用し、悪意のあるコードをリモートで実行する可能性があると警告されています。
レドモンドは、どちらの脆弱性も攻撃の複雑さが高いと見ています。CVE-2022-22029を悪用するには、「攻撃者は一定または断続的なデータを送信することで、繰り返し攻撃を試み、時間を費やす必要があります」と、ソフトウェア大手は説明しています。一方、CVE-2022-22039を悪用するには、攻撃者が競合状態に勝つ必要があります。
4つ目の重大なバグはCVE-2022-22038として追跡されており、Windowsにおけるリモートプロシージャコール(RPC)ランタイムのRCE(リモートコード実行)であり、CVSSスコアは8.1です。MicrosoftはこのRCEが悪用される可能性は低いと述べていますが、Zero Day Initiativeは、コード実行が昇格された権限で発生する可能性があり、ワーム化の可能性のあるバグにつながる可能性があると警告しています。
「RPCアクティビティを積極的にブロックしていない限り、これらの攻撃は検知されない可能性があります」とZDIのダスティン・チャイルズ氏は説明した。「攻撃の複雑さが低い場合(攻撃はスクリプト化できる可能性が高いため、そうではないと主張する人もいるでしょう)、CVSSは9.8になります。この脆弱性を迅速にテストし、導入してください。」
Adobeが27件のCVEを修正
Adobeも7月のパッチ火曜日を先月に比べるとややスローペースで実施し、RoboHelp、Acrobat/Reader、Character/Animator、Photoshopの各製品で27件の脆弱性を修正しました。このうち18件は「緊急」、残りは「重要」と評価されています。
今月Adobeが発見した脆弱性のほとんどはAcrobatとReaderに存在し、合計22件のバグが該当します。そのうち15件は重大、5件は重要度が高いとされています。これらの脆弱性により、リモートコード実行やメモリリークが発生する可能性があります。
Character と Animator に存在する 2 つの重大なバグにより、攻撃者はヒープベースのバッファ オーバーフローと境界外読み取りの脆弱性を利用して被害者のマシン上で任意のコードを実行できる可能性があります。
AMDとIntelの旧チップ、データ漏洩の「Retbleed」Spectre亜種に脆弱
続きを読む
Adobe は、Photoshop における重大な任意コード実行の脆弱性 1 件と重要なメモリ リーク バグ 1 件を修正しました。
そして最後に、RoboHelp の 1 つの重要な欠陥により、任意のコードが実行される可能性がある。
SAPが20件のセキュリティノートを発行
また本日、SAPは20件の新しいセキュリティノートと、以前に公開されたパッチデーセキュリティノート[PDF]の3件のアップデートをリリースしました。これには、高優先度の修正が4件、中優先度の修正が17件、低優先度の修正が2件含まれています。
優先度の高いセキュリティノートのほとんどはSAP Business Oneに関するものです。これには、CVSS 7.6を取得したセキュリティノート#3212997が含まれており、SAP B1とSAP HANAの統合シナリオにおける情報漏洩の脆弱性を修正しています。
「この脆弱性により、高い権限を持つ攻撃者は、高い権限を持つアカウントの認証情報などの機密情報にアクセスでき、それがその後の攻撃の開始に悪用される可能性があります」と、オナプシスのSAPセキュリティ研究者トーマス・フリッチ氏は説明した。
シスコ、2つの重大なバグを修正
一方、シスコは今月初めに10件のセキュリティアップデートをリリースした。
これには、デフォルト設定のCisco ExpresswayシリーズソフトウェアとCisco TelePresence VCSソフトウェアに影響を及ぼす2つの重大なバグが含まれています。CVE-2022-20812およびCVE-2022-20813として追跡されているこれらの重大な脆弱性は、いずれも深刻度スコア9.0です。シスコは両方の脆弱性に対するパッチをリリースしており、現時点では悪用事例は確認されていないと述べています。
CVE-2022-20812 は、Cisco Expressway シリーズおよび Cisco TelePresence VCS のクラスタ データベース API の脆弱性です。
セキュリティアドバイザリによると、「攻撃者は、管理者権限を持つ読み書きユーザーとしてシステムに認証し、影響を受けるコマンドに細工された入力を送信することで、この脆弱性を悪用する可能性があります。この脆弱性を悪用すると、攻撃者はルートユーザーとして、基盤となるオペレーティングシステム上の任意のファイルを上書きできる可能性があります。」
- 一日を休んでください: Windows Autopatch がリリースされ、クラウド PC も修復可能
- Google、Chromeをアップデートし、悪用されるWebRTCゼロデイ攻撃を阻止
- Azureの問題が何ヶ月も適切に解決されず、バグハンターが不満を漏らす
- マイクロソフト、攻撃を受けているWindowsのゼロデイ脆弱性「Follina」を修正
Cisco Expressway シリーズおよび Cisco TelePresence VCS の証明書検証におけるもう 1 つの重大なバグ(CVE-2022-20813)により、認証されていないリモート攻撃者が機密データにアクセスできる可能性があります。これは証明書の検証が不適切であることに起因しており、中間者攻撃によってデバイス間のトラフィックが傍受され、転送中のデータが改ざんまたは盗難される可能性があります。
Androidが重大なRCEを修正
そして最後に、Googleは7月のセキュリティ情報でAndroidデバイス向けの27件の修正を公開しました。「これらの問題の中で最も深刻なのは、システムコンポーネントに存在する重大なセキュリティ脆弱性で、追加の実行権限を必要とせずにリモートコード実行につながる可能性があります」と警告しています。®
