ProxyNotShellからの解放
いろいろな脆弱性が見つかります。
そしてそれらは順次対策されていきます。
多くの問題は発見されて対策が提供されますが、なかには対策として提供されたパッチでは対策が十分ではないことが後でわかって再度対策が提供されるというような流れになる場合もあります。
そのような厳しい流れになった脆弱性の例として、ProxyNotShellがあります。
ProxyNotShellはMicrosoft Exchangeの脆弱性につけられた名前です。
こんなものでした。
- CVE-2022-41082とCVE-2022-41040
2つの脆弱性を悪用して動作します。 - Exchangeがターゲット
狙われるものはMicrosoft Exchange Server 2013、2016、2019です。 - 侵害の流れ
攻撃者は権限をエスカレートして、システムのコンテキストでPowerShellを実行し、任意またはリモートでコードを実行できます。 - CVE-2022-41040の内容
サーバーサイドリクエストフォージェリ(SSRF)というタイプの脆弱性です。
この脆弱性の悪用のためには攻撃者はあらかじめ認証された状態になる必要があります。 - CVE-2022-41082の内容
PowerShellがアクセス可能な場合にリモートコード実行を可能にする脆弱性です。
ProxyNotShellは2022年9月に明らかになり対策の提供が試みられましたが、すぐには根本的な対策を提供することはできていませんでした。
当時提供されたのは緩和策となるもののみでした。
しかし、そのProxyNotShellの対策とできるパッチの提供が開始されました。
ProxyNotShellのパッチは2022年11月のWindows Updateの内容の一つとして提供されています。
2022年11月のWindows UpdateにはProxyNotShellの対策以外にも非常に多くの内容が含まれています。
- 27個の権限昇格の脆弱性
- 4個のセキュリティ機能バイパスの脆弱性
- 16個のリモートでコードが実行される脆弱性
- 11個の情報漏えいの脆弱性
- 6個のサービス拒否の脆弱性
- 3個のなりすましの脆弱性
そういえば毎月第2火曜日はMS tuesdayでした。
日本時間だと毎月第2水曜日です。
管理下のすべての機器への適用が完了したことを確認しようと思います。
参考記事(外部リンク):Released: November 2022 Exchange Server Security Updates
techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045参考記事(外部リンク):Customer Guidance for Reported Zero-day Vulnerabilities in
Microsoft Exchange Server
msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
