今週はパッチ チューズデー ウィーク (毎日のプレナズムをお許しいただければ) であり、Microsoft の更新プログラムには、同社が吹き替えた多数のセキュリティ ホールの修正が含まれています。 クリティカル、ゼロデイ修正とともに、ゼロデイはの評価しか得られませんが 重要.
0-day は、完全なリモート コード実行 (RCE) ホールではないため、おそらく重大でなくても済んだと思われます。
あれは CVE-2023-28252、特権の昇格 (EoP) バグ Windows共通ログファイルシステムドライバー.
Windows EoP バグの問題、特にすべての Windows コンピューターにデフォルトでインストールされているドライバーの問題は、ほとんどの場合、重要なアクセス権限がほとんどまたはまったくない攻撃者が直接、 SYSTEM
アカウントを作成し、コンピューターを完全に制御できるようにします。
として実行されているプログラム SYSTEM
カーネル ドライバーのロードとアンロード。 システム サービスのインストール、停止、および開始。 コンピューター上のほとんどのファイルの読み取りと書き込み。 既存のアクセス権を変更します。 他のプログラムを実行または強制終了します。 他のプログラムをスパイします。 レジストリの安全な部分を台無しにします。 などなど。
皮肉なことに、Common Log File System (CLFS) は、公式のシステム レベルの記録保持における順序、精度、一貫性、およびセキュリティを確保するために、コンピューター上のサービスまたはアプリに代わって公式のログ要求を受け入れて管理するように設計されています。
XNUMX つの高得点クリティカル ホール
特に XNUMX つの重大なバグが私たちの関心を引きました。
最初のものは CVE-2023-21554、RCE ホール Microsoftメッセージキュー システム、または MSMQ は、プログラム間に存在するネットワーク接続の種類に関係なく、プログラムが確実に通信するためのフェイルセーフな方法を提供することになっているコンポーネントです。
MSMQ サービスは既定では有効になっていませんが、通常の TCP または UDP ネットワーク メッセージが十分に堅牢であるとは見なされない信頼性の高いバックエンド システムでは、MSMQ を有効にすることができます。
(マイクロソフトの 自分の例 MSMQ の恩恵を受ける可能性のあるアプリケーションには、e コマース プラットフォームでの金融処理サービスや、空港の手荷物処理システムが含まれます)。
残念ながら、このバグは実際には発生していませんが、重大と評価され、CVSS の「危険度」は 9.8/10 でした。
Microsoft の XNUMX 文のバグの説明は、次のように簡潔に述べています。
この脆弱性を悪用するには、攻撃者は特別に細工された悪意のある MSMQ パケットを MSMQ サーバーに送信する必要があります。 これにより、サーバー側でリモート コードが実行される可能性があります。
高い CVSS スコアと、Microsoft が上記の説明で言及していないことに基づいて、このホールを悪用する攻撃者は、ログオンする必要も、最初に認証プロセスを経る必要もないと想定しています。
DHCP の危険性
私たちの目を引いた XNUMX 番目の重大なバグは、 CVE-2023-28231、Microsoft の RCE ホール DHCP サーバー サービス.
DHCPはの略です 動的ホスト構成プロトコルであり、ほぼすべての Windows ネットワークで、ネットワークに接続するコンピューターにネットワーク アドレス (IP 番号) を配布するために使用されています。
これにより、XNUMX 人のユーザーが誤って同じ IP 番号を使用しようとする (ネットワーク パケットが互いに衝突する原因となる) のを防ぎ、どのデバイスが接続されているかをいつでも追跡できます。
通常、DHCP サーバーはローカル ネットワーク上でのみ動作し、インターネット上では動作しませんが、DHCP サーバーのリモート コード実行バグは非常に危険です。
これは、DHCP が、パスワードを入力する前やユーザー名を入力する前だけでなく、コンピューターをオンラインにする最初のステップとして、「構成ダンス」の一部としてネットワーク パケットを交換するように設計されているためです。ネットワークレベルで。
言い換えれば、DHCP サーバーは、未知のデバイスや信頼できないデバイスからのパケットを受け入れて応答できるほど堅牢である必要があります。これは、ネットワークにどれだけの信頼を置くかを決定し始めることができるようにするためです。
ただし、幸いなことに、この特定のバグは、前述の MSMQ バグ (CVSS 危険レベルは 8.8/10) よりもわずかに低いスコアになります。これは、ログオンした後にのみコンピューターからアクセスできる DHCP サービスの一部であるためです。
マイクロソフトの言葉で:
認証された攻撃者は、DHCP サービスへの特別に細工された RPC 呼び出しを利用して、この脆弱性を悪用する可能性があります。
この脆弱性の悪用に成功するには、攻撃者が攻撃を実行する前に、まず制限されたネットワークへのアクセスを取得する必要があります。
セキュア ブートがブートのみの場合
私たちの興味をそそった最後の XNUMX つのバグは、 CVE-2023-28249 および CVE-2023-28269、両方とも見出しの下にリストされています Windows ブート マネージャーのセキュリティ機能バイパスの脆弱性.
Microsoftによると:
[これらの脆弱性] の悪用に成功した攻撃者は、セキュア ブートをバイパスして不正なコードを実行する可能性があります。 攻撃者が成功するには、物理的なアクセスまたは管理者権限が必要です。
皮肉なことに、広く宣伝されているセキュア ブート システムの主な目的は、電源を入れてから Windows が制御を引き継ぐまで、コンピューターを厳密かつ揺るぎない経路に保つのに役立つことです。
実際、セキュア ブートは、コンピューターを盗む攻撃者が、初期起動プロセス自体を変更または破壊するブービー トラップ コードを挿入するのを阻止することになっています。 ブートキット.
例としては、BitLocker ディスク暗号化解除コードを入力するときに入力したキーストロークをこっそりとログに記録する (これがないと Windows を起動できない) ことや、変更されたディスク セクターをこっそりとブートローダー コードに送り込み、Windows カーネルを読み取り、安全に起動しないようにすることが含まれます。
この種の裏切りは、外出中にホテルの部屋に公式にアクセスできる人 (裏切り者の掃除人など) が、目立たないようにブートキットを挿入できる可能性があるというシナリオに基づいて、「邪悪な掃除人」攻撃と呼ばれることがよくあります。たとえば、ラップトップを USB ドライブから簡単に起動し、自動スクリプトに汚い仕事をさせます…
…そして翌日、同様に迅速で無人的なトリックを使用して、キーストロークなどの盗まれたデータを取得し、ブートキットが存在したという証拠をすべて削除します.
言い換えれば、セキュア ブートは、適切に暗号化されたラップトップが破壊されないように安全に保つことを目的としています。
したがって、日常的に使用する Windows コンピューターを使用している場合、Microsoft 自身の評価は「重要」に過ぎませんが、これらのバグに「重大」であるかのようにパッチを当てることになります。
何をするか?
- 今すぐパッチを当ててください。 XNUMX つのゼロデイがすでに犯罪者によって悪用されており、XNUMX つの高 CVSS スコアの重大なバグがリモート マルウェアの埋め込みにつながる可能性があり、XNUMX つのバグがセキュア ブートからセキュアを削除する可能性があるのに、なぜ遅らせる必要があるでしょうか? 今日だけやってみよう!
- 読む SophosLabs レポート それは今月のパッチをより広く見ています。 Windows 自体、Visual Studio Code、SQL Server、Sharepoint、およびその他の多くのコンポーネント全体で 97 の CVE にパッチが適用されているため、システム管理者が知っておく必要のあるバグは他にもたくさんあります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/04/12/microsoft-fixes-a-zero-day-and-two-curious-bugs-that-take-the-secure-out-of-secure-boot/