Windows

マイクロソフトは今週火曜日、デフォルトで有効になっているIPv6を使用しているすべてのWindowsシステムに影響を及ぼす、悪用の可能性が高まった重大なTCP/IPリモートコード実行(RCE)の脆弱性にパッチを当てるよう顧客に警告した。

このセキュリティ・バグは、Kunlun LabのXiaoWeiが発見し、CVE-2024-38063として追跡されているもので、整数アンダーフローの脆弱性によって引き起こされ、攻撃者は、脆弱なWindows 10、Windows 11、およびWindows Serverシステム上で任意のコードを実行するために使用可能なバッファ・オーバーフローをトリガーするために悪用することができる。

「この脆弱性はファイアウォールで処理される前にトリガーされるため、ローカルのWindowsファイアウォールでIPv6をブロックしてもエクスプロイトはブロックされない。

マイクロソフトが火曜日のアドバイザリーで説明しているように、認証されていない攻撃者は、特別に細工されたパケットを含むIPv6パケットを繰り返し送信することで、複雑度の低い攻撃でリモートからこの欠陥を悪用することができる。

マイクロソフトはまた、この重大な脆弱性に関する悪用可能性評価を共有し、この脆弱性に「悪用の可能性が高い」というラベルを付けている。これは、脅威行為者が「攻撃において一貫してこの欠陥を悪用する」ための悪用コードを作成する可能性があることを意味する。

「さらに、マイクロソフトは、この種の脆弱性が悪用された過去の事例を認識している。このため、攻撃者にとって魅力的な標的となり、エクスプロイトが作成される可能性が高くなります」とレドモンド氏は説明する

「そのため、このセキュリティ更新プログラムを確認し、自分の環境で適用可能であると判断した顧客は、これをより優先的に扱う必要がある。

今週のWindowsセキュリティ更新プログラムをすぐにインストールできない場合の緩和策として、マイクロソフトは攻撃対象から外すためにIPv6を無効にすることを推奨している。

しかし、同社のサポートサイトでは、IPv6ネットワーク・プロトコル・スタックは「Windows VistaとWindows Server 2008およびそれ以降のバージョンでは必須の部分」であり、IPv6やそのコンポーネントをオフにすることは推奨していないとしている。

ワーム可能な脆弱性

トレンドマイクロのゼロデイ・イニシアチブの脅威認識責任者であるダスティン・チャイルズ氏も、今回のパッチ・チューズデーでマイクロソフトが修正した最も深刻な脆弱性の1つとしてCVE-2024-38063バグを挙げ、ワーム可能な欠陥であるとタグ付けしている。

「最悪なのはTCP/IPのバグで、リモートの認証されていない攻撃者が、特別に細工したIPv6パケットを影響を受けるターゲットに送信するだけで、昇格したコード実行を許してしまう可能性がある。

「つまり、ワーム可能ということだ。このエクスプロイトを防ぐためにIPv6を無効にすることができますが、IPv6はデフォルトでほとんどすべてで有効になっています」。

マイクロソフトや他の企業は、CVE-2024-38063を悪用した潜在的な攻撃をブロックするために、できるだけ早くシステムにパッチを当てるようウィンドウズ・ユーザーに警告しているが、IPv6パケットを使って悪用可能なウィンドウズの脆弱性はこれが初めてではなく、おそらく最後でもないだろう。

過去4年間、マイクロソフトは、悪意のあるICMPv6ルーター広告パケットを使用したリモート・コード実行(RCE)やサービス拒否(DoS)攻撃に悪用される可能性のある、CVE-2020-16898/ 9(Ping of Deathとも呼ばれる)として追跡されている2つのTCP/IPの欠陥を含む、他の複数のIPv6の問題にパッチを適用してきた。

さらに、IPv6 フラグメンテーションのバグ(CVE-2021-24086)は、すべての Windows バージョンに DoS 攻撃の脆弱性を残し、DHCPv6 の欠陥(CVE-2023-28231)は 、特別に細工されたコールで RCE を得ることを可能にしました。

攻撃者がIPv6対応のWindowsデバイスを標的とした広範な攻撃でこれらを悪用することはまだないとはいえ、CVE-2024-38063が悪用される可能性が高まっているため、ユーザーは今月のWindowsセキュリティ更新プログラムを直ちに適用することが推奨される。