OpenSSL 3.0 ~ 3.0.6 のリスク (CVE-2022-3786 および CVE-2202-3602) に関する認識とガイダンス

本ブログは、Awareness and guidance related to OpenSSL 3.0 – 3.0.6 risk (CVE-2022-3786 and CVE-2202-3602)の抄訳版です。最新の情報は原文を参照してください。

マイクロソフトは、バージョン 3.0.7 で修正された、2022 年 10 月 25 日 (米国時間) に発表された最近の OpenSSL の脆弱性に関連する影響を認識し、積極的に対応しています。マイクロソフトのスタンダード プロセスの一環として、影響を受けるサービスの修正プログラムを公開しています。 必要な作業については、このブログと関連するセキュリティ更新プログラム ガイド (CVE-2022-3786 セキュリティ更新プログラム ガイド とCVE-2022-3602 セキュリティ更新プログラムガイド) を参照してください。ベスト プラクティスとして、自組織の環境を管理しているお客様は、OpenSSL から最新のセキュリティ更新プログラムを適用することをお勧めします。 セキュリティ更新プログラム ガイドを参照して、必要な作業を確認することを強くお勧めします。

OpenSSL バージョン 3.0.7 は 2022 年 11 月 1 日 (米国時間) に一般公開され、OpenSSL は CVE-2022-3602 を緊急から高へ、深刻度の評価をダウングレードしました。OpenSSL 3.0.7 は、証明書の検証を実行するシステムに対してサービス拒否の影響を及ぼす 2 つの脆弱性 (CVE-2022-3786 および CVE-2022-3602) を解決します。攻撃者が悪意を持って細工した証明書を、認証の一部として証明書を解析するクライアントまたはサーバーに送信すると、クラッシュを引き起こす可能性があります。現時点では、この脆弱性により、確実にリモートでコードが実行される可能性はないように見え、攻撃を受けていることも確認されていません。

サービス拒否 (DoS) の脆弱性は、OpenSSL が X.509 証明書の検証を行う際に、名前の制約チェック時に引き起こされる可能性がある、2 つのバッファー オーバーフローに起因します。バッファー オーバーフローは、証明書チェーンの検証後に発生し、証明機関が悪意のある証明書に署名をしている(これは可能性は低い)か、信頼された発行者に証明書チェーンを構築できないというエラー時にアプリケーションが証明書検証を続行する際に発生します。

攻撃者は、これらの脆弱性を悪用するために、X.509 証明書内の悪意のある電子メール アドレスを細工してスタック上でオーバーフローを引き起こす可能性があります。これにより、クラッシュが発生し、サービス拒否が発生する可能性があります。

これは TLS クライアントとサーバーの両方に影響します。クライアントの場合、この脆弱性は悪意のあるサーバーに接続することによって引き起こされる可能性があります。サーバーの場合、サーバーがクライアント証明書認証を要求し、悪意のある構成の証明書を持つクライアントがサーバーに接続した場合に引き起こされる可能性があります。

唯一の軽減策は、OpenSSL バージョン 3.0.7 にアップグレードすることです。

• マイクロソフトは、影響を受ける OpenSSL 3.0 ~ 3.0.6 を利用している自社製品とサービスを更新するための措置を講じています。

• 影響を受けるバージョンの OpenSSL を使用している場合、 OpenSSL バージョン 3.0.7 にアップグレードすることをお勧めします。OpenSSL 3.0 - 3.0.6 に依存しているマイクロソフト製品とサービスの一覧については、マイクロソフト セキュリティ更新プログラム ガイド(CVE-2022-3786 セキュリティ更新プログラム ガイド とCVE-2022-3602 セキュリティ更新プログラムガイド) を参照してください。

  • お客様は、Microsoft Defender Vulnerability Management の タブを利用して、組織の露出と修正プログラムの状態を追跡できます。

• Microsoft Defender for Cloud には、ご使用の環境が脆弱かどうかを迅速に判断し、アクションの優先順位を決定するのに役立つ 2 つの機能があります。 詳細は、このブログを参照してください。
• Microsoft Defender Vulnerability Management を使用し、脆弱な OpenSSL バージョンを実行しているエンドポイントで、組織の露出と修正プログラムの状態を追跡できます。このブログで、脆弱なアセットを特定して修正プログラムを適用するためにお客様が実行できる手順の概要について説明しています。
• Microsoft Defender for Endpoint のお客様は、Microsoft 365 Defender ポータルで、最新の脅威の状況に対して Threat Analytics を利用し、Microsoft Defender Vulnerability Management の脆弱な資産を検出するためのガイダンスを利用できます。
• Microsoft Defender External Attack Surface Management は、デジタル攻撃対象領域を継続的に検出してマッピングし、オンライン インフラストラクチャの外部ビューを提供します。Attack Surface Insights は、脆弱性とインフラストラクチャ データを利用して、組織の主な懸念事項を特定することで生成されます。OpenSSL バージョン 3.0 ~ 3.0.6 を使用する攻撃対象領域の資産を特定するための高深刻度分析情報が公開されています。この検出は HTTP ヘッダーを読み取ることで Web サイトで非常に有効ですが、他のリモート プロトコルは OpenSSL バージョンをアドバタイズしません。このため、インターネットに接続されている各システムにログインし、「openssl バージョン」を実行してパッチ レベルを確認することを強くお勧めします。ほとんどの Linux ディストリビューションは OpenSSL 3 に切り替え済みではなく、脆弱ではありません。