先日、今月のMicrosoft Tuesdayでした。
いくつもの脆弱性に対応する修正が提供されました。
このなかには重大度の高いものがいくつも含まれていました。
こういうものがありました。
- CVE-2024-38199
Windows Line Printer Daemon (LPD) サービスのリモートでコードが実行される脆弱性 - CVE-2024-38063
Windows TCP/IP のリモートでコードが実行される脆弱性 - CVE-2024-38140
Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性
いずれも重大度が9.8となっているもので、注意が必要なものとなっています。
ここで注目したいのは、CVE-2024-38063です。
WindowsのTCP/IPプロトコルの処理を行っているモジュールで確認された脆弱性です。
この脆弱性が対策されていない状態の場合、攻撃者はこれを悪用してバッファーオーバーフローを引き起こし、Windows10、Windows11、Windows Serverにおいて任意のコードを実行することができます。
認証なしで、リモートから、複雑性の低い攻撃が可能となります。
ワームとして自身の機能で横展開ができてしまうマルウェアを作ることも簡単そうです。
この問題を悪用できてしまう手順の詳細は公開されていませんが、問題の部分はIPv6の処理に関する部分にあることまではわかっています。
この問題がある状態においては、WindowsファイアウォールでIPv6をブロックするように設定しても、WindowsファイアウォールがIPv6のパケットを処理する前の段階の部分で問題が発現するため防ぐことはできません。
問題の解消方法は1つのみです。
- 脆弱性の修正を含むパッチを適用する
何らかの事情でパッチをすぐに適用できない場合は緩和策を選択することは可能です。
- IPv6を無効化する
Windowsでは標準設定でIPv6が有効な状態になっています。
運用中のすべてのWindows機器に対して対策をとる必要があります。
たくさんある運用中の機器に対する対策の徹底、頭の痛い問題です。
加えて、動作していることが運用チームに把握されていない機器があったとして、その機器も脆弱な状態であることに変わりはありません。
こういった脆弱性の話が持ち上がるとき、こういったシャドーITの問題も一緒に問題となることがあります。
日頃からシャドーITのないクリーンなネットワークの運用ができているとよいですね。
Windows TCP/IP Remote Code Execution Vulnerability CVE-2024-38063
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
| この記事をシェア |
|
|---|
