2021年12月のPatch Tuesdayは、Apache Log4jのゼロディ脆弱性(CVE-2021-44228)の影響を受けているため、Log4j関連の問題を解決に注力しているベンダーが多くなると予想されます。

Microsoftからの追加のパッチアップデートを見逃してはいけません。12月にMicrosoftが脆弱性を修正した件数は67件で、4件の再リリースが含まれています。今月解決された合計71件のCVEのうち、7件が 「緊急」 に分類され、6件が公表されたことが確認されており、さらに1件のゼロデイ(CVE-2021-43890)にも注意が必要です。

Apache Log 4jの脆弱性を特定、緩和、または修復する取り組みが続いています。この場合、多くのチームが、何をすべきかを正確に把握できず、フラストレーションを感じています。Apache Log4j は、開発ライブラリであるため、特定の Jar ファイルにパッチを適用して終わりというわけにはいきません。それは、あなたの開発チームや、あなたが使用している製品のベンダーによって異なります。

このライブラリは、多くのEコマースサイトやアプリケーションで使用されている一般的なメッセージング・コンポーネントで、悪用しやすいため、攻撃者はサーバを容易にコントロールできます。攻撃者はそこから暗号解読プログラムをインストールし、システムをボットネットの一部として、それを足がかりに機密データへのアクセスや流出を行う可能性があります。

この脆弱性をどのように解決するかという点については、もう少し難しい問題があります。通常、組織は脆弱性のあるコードコンポーネントやライブラリを特定するために、コードスキャナーに頼ることになります。今回のケースでは、コードスキャナーでは、脆弱なライブラリを適切に検出することができません。すでに市場に投入されている製品については、脆弱なソフトウェアを特定するためにネットワークの脆弱性スキャンを利用していますが、これらのスキャナは、適切な形式のメッセージを送信してその結果をログで監視しなければならないため一貫して脆弱性を検出するのが難しく、その結果が常に表示されるとは限りません。

最善のガイダンスは、DevSecOpsのプロセスと脆弱性のスキャンに依存し続けること、そして、検出に時間がかかる可能性が高いため、より直接的なアクションでこれを補完することです。ベンダーによるKB文書、セキュリティアドバイザリ、および軽減ガイダンスのリストを収集している情報源はいくつかあります。組織は、環境内のベンダーを評価し、ベンダーがガイダンスを提供しているかどうかを判断し、それらのアクションを直ちに実行する必要があります。これは、脆弱なjarファイルを見つけてコードクラスを削除する、脆弱なロギング機能を無効にするように構成を変更する、またはLog 4 jバージョンを2.15に更新するなど、そのベンダーからの更新を適用することによって、より迅速に軽減することができます。軽減または更新が利用可能なベンダーからのガイダンスが見つからない場合は、通常の検出方法が再び可視化されるまで時間がかかる可能性があるため、ベンダーに連絡する必要があります。

それでは、12月の月例パッチリリースのお話しに移ります。Microsoftは今月、 「Windows OS」 、 「Microsoft Office」 、 「Edge」 (Chromium) 、さまざまな開発者ツールのアップデートを公開しました。中でも気になるのはApp Installerです。これはWindows 10アプリをサイドロードするためのユーティリティで、App Storeから入手できます。Windows AppX Installerには現在、なりすましの脆弱性(CVE-2021-43890)が存在し、攻撃者にコードを実行される可能性があります。この脆弱性は公表されており、Emotet/Trickbot/Bazaloaderファミリーのマルウェアを含む特別に細工されたパッケージを使用したエクスプロイトからも検出されています。

今月公表された追加のCVEは5件で、すべて 「Elevation of Privilege」 の脆弱性で、今月のOSアップデートに含まれています。脆弱性のあるコンポーネントは、暗号化ファイルシステム (EFS) (CVE-2021-43893)、Windows Installer (CVE-2021-43883) 、Windows Mobile Device Management (CVE-2021-43880) 、Windows Print Spooler(CVE-2021-41333)、NTFS Set Short Name (CVE-2021-43240).です。Print Spoolerの場合は機能例、NTFSとWindows Installerの脆弱性は概念実証が公開されており、今月のOSアップデートを急がなければならない理由があるようです。