Windowsを勝手に操作される「RCE」につながる脆弱性とは? 危険性と対策Windowsサービスの「致命的な脆弱性」【後編】

MicrosoftのWindowsサービスに複数の脆弱性が見つかった。中でも「リモートコード実行」(RCE)につながる脆弱性が危険だという。どのような脆弱性なのか。ユーザーが取るべき対処とは。

2023年06月22日 05時15分 公開
[Alex ScroxtonTechTarget]

 セキュリティベンダーCheck Point Software Technologies(以下、Check Point)は2023年4月、MicrosoftのOS「Windows」が搭載する機能に複数の脆弱(ぜいじゃく)性を発見し、自社のブログで公表した。脆弱性の中には、標的のサーバで不正なプログラムを動作させるリモートコード実行(RCE)を可能にするものが含まれていた。その詳細とは。

RCE攻撃を引き起こす“危険”な脆弱性の数々

 Check Pointは、2023年4月時点では脆弱性の技術的詳細の完全な公開を控えた。これは脆弱性の詳細情報を公開しないことによって、攻撃者が脆弱性を悪用することを防ぎ、ユーザーがシステムにパッチ(修正プログラム)を適用する時間を確保するためだ。同時に、すぐにパッチを適用できないMSMQユーザーに対しては臨時的な措置として、同社は信頼できない接続元からポートに着信する接続をファイアウォールでブロックするよう推奨する。

 今回公開された脆弱性の一つ「QueueJumper」はRCE攻撃につながり、「悪用されていてもユーザーが気付きにくいという点で危険性が強い」とCheck Pointは警鐘を鳴らす。Microsoftがパッチを配布したWindows製品に見つかった脆弱性のうち、RCE攻撃を引き起こす可能性があるものには、他に以下がある。

  • WindowsでL2(レイヤー2)のトンネリングプロトコルによる通信を実施する際の脆弱性「CVE-2023-28219」「CVE-2023-28220」
    • レイヤー2はネットワークにおけるデータリンク層。トンネリングプロトコルは通信経路を確立するためのプロトコルを指す。
  • Windowsで「DHCP」(Dynamic Host Configuration Protocol)サーバを稼働させるサービスにおける脆弱性「CVE-2023-28231」
    • DHCPサーバは、ネットワーク内のデバイスに自動でIPアドレスを割り当てるためのサーバ。
  • Windowsで「PPTP」(Point-to-Point Tunneling Protocol)による通信を実施する際の脆弱性「CVE-2023-28232」
    • PPTPは、VPN(仮想プライベートネットワーク)接続を確立するためのプロトコル。
  • Windowsで「PGM」(Pragmatic General Multicast)による通信を実施する際の脆弱性「CVE-2023-28250」
    • PGMは、インターネットを介して複数のデバイスにデータを一斉送信するためのプロトコル。
  • Windowsで「RAW」形式の画像を扱うための拡張機能「Raw Image Extension」(Raw画像拡張機能)の脆弱性「CVE-2023-28291」

 Microsoftは2023年4月の月例アップデートでパッチを配布し、これらの脆弱性を修正した。Windowsのログ取得機能「Common Log File System」(CLFS:共通ログファイルシステム)におけるゼロデイ脆弱性(ベンダーからセキュリティ更新プログラムが提供される前の脆弱性)「CVE-2023-28252」も、修正の対象となった。CVE-2023-28252は、ランサムウェア(身代金要求型マルウェア)攻撃「Nokoyawa」に悪用される脆弱性だ。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news041.jpg

「非常時にピザ1枚無料」のデータがドミノ・ピザのマーケティングに生む好循環とは? CMOに聞く
2024年10月にDomino'sのチーフブランドオフィサーからエグゼクティブバイスプレジデント...

news054.jpg

AI搭載は「もう売りにならない」──「Marketing Dive」2025年予測【前編】
広告費が世界で1兆ドルを超える中、マーケターは多くの課題に直面している。不透明な規制...

news045.jpg

Xがアルゴリズム変更へ イーロン・マスク氏が優遇したい投稿とは?
Xは新たなアルゴリズムアップデートで「情報的かつ娯楽的」なコンテンツに重点を置いてい...