Microsoftは3月14日(米国時間)、2023年3月の月例セキュリティアップデートをリリースした。このアップデートでは重要度が「緊急(Critical)」に分類された4件の脆弱性の修正が含まれているが、その一つに「CVE-2023–23415」がある。これはICMP(Internet Control Message Protocol)の実装に関連した脆弱性で、悪用されるとリモートから任意のコードを実行される危険性がある。

この脆弱性について、セキュリティ研究者のKevin Beaumont氏が、「A look at CVE-2023–23415 — a Windows ICMP vulnerability + mitigations (which is not a cyber meltdown)」において詳しい解説を公開した。

  • A look at CVE-2023–23415 — a Windows ICMP vulnerability + mitigations (which is not a cyber meltdown)

    A look at CVE-2023–23415 — a Windows ICMP vulnerability + mitigations (which is not a cyber meltdown)

ICMPは、TCP/IP通信においてノード間でネットワークの通信状態を確認するために使われるプロトコル。サーバの死活状態や可用性の監視に利用されており、インターネット通信における最も基本的なプロトコルとされている。

CVE-2023–23415では、プロトコルの処理エラーを誘発するヘッダを含むIPパケットを送信することで、攻撃者はリモートから標的のホスト上で任意のコードを実行できる可能性がある。Microsoftではこれを「悪用される可能性が高い」脆弱性に分類しており、深刻度を表すCVSS v3のベーススコアも10点中「9.8」で緊急性の高い脆弱性として評価されている。

  • インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性

    インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性

MicrosoftのセキュリティガイドにはCVE-2023-23415について短い説明しか記載されていないが、Kevin Beaumont氏はこの脆弱性が悪用されるシナリオの条件を補足している。

  • 新規にインストールしたWindows OSでは影響を受けない
  • rawソケット(未加工のパケットを扱えるソケット)をリッスンできるアプリ(ポートスキャナなど)が実行されている必要がある
  • アプリがrawソケットをリッスンするには管理者権限が必要
  • ICMPのインバウンドが許可されている必要がある

これらの条件を考慮すると、Windows OSの状態を常に最新に保つことや、ファイアウォールやパケットフィルタなどによってICMPのインバウンドを制限することなどで、CVE-2023-23415の影響を簡単に排除できるとKevin Beaumont氏は指摘している。

Microsoftが修正プログラムをリリースしたことを受けて、この脆弱性の発見者であるhex nomad(@hexnomad)氏は脆弱性の技術的な詳細を公開する予定だという。Kevin Beaumont氏は、Microsoftがリリースした更新プログラムを適用してこの脆弱性の影響を回避することを勧めている。