ゼロクリック型攻撃の可能性 ～CVE 2024-38063のPoCコードが公開～

お盆休みの8月13日に公開された脆弱性CVE 2024-38063は、
米Microsoft社のTCP/IPスタックのIpv6受信処理における脆弱性で、
攻撃者は特定のパケットを送信することによって
メモリ内容を破壊したり改ざんしたりできるとされています。

そのことによって、DoS攻撃やリモートコード実行を
行うことができる可能性が指摘されています。

そして、受信処理における脆弱性であるがために、
ユーザが何もしなくても攻撃が成立する性質のものになっています。

これが「ゼロクリック攻撃」と呼ばれる理由です。
当初は、悪用の可能性は低いとされていましたが、
先週にPoC：Proof of Concept（概念実証）コードが公開されたことにより、
状況が大きく変化しました。

公開されたPoCコードは、当メルマガ執筆時点では
リモートコード実行には至っておらず、DoS攻撃を行うものですので、
システムを乗っ取られるリスクは小さいですが、
TCP/IP接続が頻繁に途切れる事態を招くので、
サーバに対して行われた場合は少し厄介なことになりかねません。

また、リモートコード実行が可能になった場合には
リスクはけた外れに大きくなります。

従って、Windows機器をインターネット上に配置している組織は
早急にWindows Updateを実行するか、
暫定措置としてIpv6の接続を一時的に停止することをお勧めします。

また、本脆弱性については、
偽のPoCコードが偽のスクリーンショットと共に
GitHubにアップロードされるという問題も発生しているので、
検証目的でPoCコードをダウンロード・実行する際には
くれぐれも注意してください。

※こちらは、執筆時点2024年9月5日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の露出状況を把握できる
SecurityScorecardの国内代理店でもあります。

【監修】
サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）