ワーム化可能な脆弱性

先日、今月のMicrosoft Tuesdayでした。
いくつもの脆弱性に対応する修正が提供されました。
このなかには重大度の高いものがいくつも含まれていました。
こういうものがありました。

  • CVE-2024-38199
    Windows Line Printer Daemon (LPD) サービスのリモートでコードが実行される脆弱性
  • CVE-2024-38063
    Windows TCP/IP のリモートでコードが実行される脆弱性
  • CVE-2024-38140
    Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性

いずれも重大度が9.8となっているもので、注意が必要なものとなっています。
ここで注目したいのは、CVE-2024-38063です。

WindowsのTCP/IPプロトコルの処理を行っているモジュールで確認された脆弱性です。
この脆弱性が対策されていない状態の場合、攻撃者はこれを悪用してバッファーオーバーフローを引き起こし、Windows10、Windows11、Windows Serverにおいて任意のコードを実行することができます。
認証なしで、リモートから、複雑性の低い攻撃が可能となります。
ワームとして自身の機能で横展開ができてしまうマルウェアを作ることも簡単そうです。

この問題を悪用できてしまう手順の詳細は公開されていませんが、問題の部分はIPv6の処理に関する部分にあることまではわかっています。
この問題がある状態においては、WindowsファイアウォールでIPv6をブロックするように設定しても、WindowsファイアウォールがIPv6のパケットを処理する前の段階の部分で問題が発現するため防ぐことはできません。

問題の解消方法は1つのみです。

  • 脆弱性の修正を含むパッチを適用する

何らかの事情でパッチをすぐに適用できない場合は緩和策を選択することは可能です。

  • IPv6を無効化する

Windowsでは標準設定でIPv6が有効な状態になっています。
運用中のすべてのWindows機器に対して対策をとる必要があります。

たくさんある運用中の機器に対する対策の徹底、頭の痛い問題です。
加えて、動作していることが運用チームに把握されていない機器があったとして、その機器も脆弱な状態であることに変わりはありません。
こういった脆弱性の話が持ち上がるとき、こういったシャドーITの問題も一緒に問題となることがあります。

日頃からシャドーITのないクリーンなネットワークの運用ができているとよいですね。

Windows TCP/IP Remote Code Execution Vulnerability CVE-2024-38063

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。