パッチチューズデー 2021’04

パッチチューズデーとなりました。
パッチチューズデーとは、毎月第2、第4火曜日の翌日にマクロソフト、アドビ(Adobe)からパッチ情報がリリースされる日です。
危険な脆弱性に絞って解説していきます。

なお、ここでは速報性を大事にしています。当日のお昼過ぎにはJPCERT/CCやIPAにも情報が掲載されますので、そちらも必ずご確認ください。

Adobe

Photoshop等の脆弱性情報は出ていますが、Acrobat (reader)の脆弱性は無しです。攻撃が観測されているものもありません。

Microsoft

Microsoft(MS)関係の脆弱性で危険なものは以下となります。攻撃が観測されているものもありますので、影響を受けるシステムは早めにWindows Update(パッチ当て)しましょう。

CVE-2021-28310 - Win32k Elevation of Privilege Vulnerability

CVE-2021-28310
攻撃が実際に行われています。
権限昇格(Elevation of Privilege)の脆弱性です。
攻撃者はシステムに侵入し本脆弱性を突くプログラムを実行するか、ユーザに実行させるかして発症させ、管理者権限を奪います。

攻撃者の立場だと、この手のものは他の脆弱性と組み合わせないと発症させることが難しいので、ブラウザの脆弱性やPDFにスクリプトを仕込み、ユーザに開かせることで発症させるなどの手段を取ります。

2021/04/15 参考追記
https://note.com/kazuhiko_kawai/n/n13c6630d366d

CVE-2021-28480/28481 – Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28480, CVE-2021-28481
攻撃は観測されていませんが、NSA(米国家安全保障局)からの情報で発覚した脆弱性なので悪用の可能性が高いものとなります。なるべく早くパッチを当てましょう。Exchange Serverなのでパッチあては難しいと思いますが、、

脆弱性の内容ですが、AV(Attack Vector, 攻撃経路)がNetworkで、攻撃に認証は不要、つまりログインは不要であり、ユーザの関与も入りません。脆弱性を持つシステムを攻撃者が見つけたら即攻撃できるということです。

厄介なことにExchangeサーバ間でワーム化(wormable)が可能なようです。ワームというのは指令なしで自律的に動き、自己増殖するものです。つまり一度かかると他のシステムも次々に感染する厄介なやつです。

結論

パッチが出た後、攻撃者はパッチを解析し脆弱性の内容を理解し、攻撃ツールを仕立てる行動に出ます。
つまり、今現在攻撃が観測されていなくてもパッチが出て数日経つと攻撃が観測される可能性が出てきます。
なのでパッチはなるべく早く当てましょう。テストして影響確認も忘れずに！パッチを当てられないなら他の手段で防御できないかも検討しましょう。多層防御です！

参考

Zero Day Initiative — The April 2021 Security Update Review

2021 年 4 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center

2021年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

本日はマイクロソフト月例セキュリティ更新の日。話題のExchange以外にも重要な脆弱性を修正しています。ぜひ早めのパッチ適用をお願い致します。既定では自動更新ですが企業組織環境でのリスク判断に役立つ情報をブログで公開していますのでご確認ください。https://t.co/FfvXuY9kwq
(メモ続く) pic.twitter.com/lkLlXXbSSe

— Yurika (@EurekaBerry) April 14, 2021

ゆりか先生(MSの中の人)のtweetは要チェックです。