Windowsの重大な脆弱性(2020年5月)

ソフトウェア脆弱性は毎月1,000件以上報告され、都度更新が行われています。今年の5月も例外ではなく、3月、4月に比べ僅かに減少したものの、脆弱性データベースのVulnDBにおいては、1,225件もの新しい脆弱性が報告されており、しかも、これらの脆弱性のほとんどが、広く使われているMicrosoft Windows製品ファミリーに影響を及ぼすものでした。

マイクロソフト社は同社製品に影響を及ぼす、111件の脆弱性に対応する修正プログラムをリリースしています。その内容は、CVEのうち16件が緊急(critical)、残りの95件が重要(important)として区分されています。また一方、アドビ社も、5月に36件の脆弱性に対する修正プログラムをリリースしています。

注意すべきWindowsの主な5つの脆弱性

昨今のランサムウエア攻撃の特長として、システムへのアクセスを拡大することができる権限昇格(EoP)の脆弱性を対象にしたものが散見されます。攻撃者は通常、攻撃を行うためにシステムにアクセスする必要がありますが、一旦これに成功すると、さらなる攻撃に繋がる可能性があります。

  1. 最初の事例CVE-2020-1054は、Windowsのカーネルモードドライバーの欠陥と、それがメモリ内でオブジェクトを処理する方法を使用します。この脆弱性が悪用されると、ローカルユーザーとしてログインしている攻撃者が、カーネルモードで任意のコードを実行できます。これによって、攻撃者はシステムの深部にマルウェアを埋め込んだり、システムのさまざまなセキュリティ設定を変更および無効にすることが可能になります。この欠陥は、Windows 7 32ビット、Windows 10 64ビット、およびWindows Server 2019を含むすべての新しいバージョンのWindowsに存在します。
  2. Windows グラフィックコンポーネントのEoP脆弱性(CVE-2020-1135)は、Windowsカーネルドライバーにおける解放済みメモリ使用(use-after-free)状態を利用します。この場合も、ログインした攻撃者は、最高の権限を持つ任意のコードを実行でき、例えば、ルートキットマルウェアをインストールする可能性があります。
  3. Microsoft カラーマネジメントにも、リモートコード実行(RCE)を引き起こす可能性のある脆弱性が検出されています(CVE-2020-1117)。攻撃者は、電子メールやインスタントメッセンジャーを介してリンクを送信し、特別に準備した悪意のあるWebサイトに誘導します。誘導先のWebサイトでは、ユーザーのダウンロード操作なしで、脆弱性を悪用しマルウェアをインストールしてしまいます。これは、過去に多く見られたエクスプロイトキットのような、従来型の「ドライブバイダウンロード」攻撃です。
  4. また、Windows リモートアクセスコモンダイアログにも脆弱性が見つかりました(CVE-2020-1071)。これは権限昇格(EoP)の脆弱性ですが、ここでは攻撃者は、ログイン画面から起動するためにコンピュータへの物理的アクセスを必要とします。このバグを悪用すると、攻撃者は特権的なコードを実行し、たとえばシステム コマンド プロンプトを有効にしてシステムに完全にアクセスできるようになります。これは、ホテルや空港にある物理的にアクセスできるキオスクの端末で発生する可能性があります。
  5. Microsoft Windows トランスポート層セキュリティ (TLS) にも修正プログラムが適用された脆弱性があります (CVE-2020-1118)。この脆弱性により、サービス拒否 (DoS) 状態が発生する可能性があります。リモートの認証されていないユーザーは、悪意を持って作成されたクライアント キー交換メッセージを送信することにより、TLS ハンドシェイクの弱点を悪用する可能性があります。エクスプロイトが成功すると、lsass.exe プロセスが終了し、システムが応答を停止して再起動します。このバグは、TLS バージョン 1.2 以下のクライアントと TLS サーバーの両方に影響を及ぼします。攻撃者はトラフィックを復号化することはできませんが、システムをクラッシュさせることで、サポート チームにとっての作業負荷が増える可能性があります。

継続的な脆弱性評価とパッチ適用の重要性

毎月、継続的にエクスプロイトが増加する可能性があることを考えると、デプロイしたシステムにおける脆弱性の有無をすべてチェックし、可能な場合には迅速にパッチを適用することは不可欠であると言えます。

Acronis Cyber Cloudサービスプロバイダープラットフォームの一部として利用可能なAcronis Cyber Protect Cloudは、比類のないサイバーセキュリティと実績のあるバックアップソリューション間の緊密な統合によって、数多くの利便性の高い独自機能を備えたトップレベルの脆弱性評価およびパッチ管理機能を提供します。