Q&A | Trend Micro Business Support

アラート/アドバイザリ：ウイルスバスタービジネスセキュリティとウイルスバスタービジネスセキュリティサービスで確認された複数の脆弱性について（2022年2月)

- 更新日:
- 22 Feb 2022
- 製品/バージョン:
- Worry-Free Business Security Services 6.7
- Worry-Free Business Security Standard 10.0
- OS:
- Windows

脆弱性の影響を受ける製品/コンポーネント/ツール

該当する脆弱性	製品/コンポーネント/ツール	バージョン	CVSS3.0 スコア	深刻度
CVE-2022-24678	Biz VBBSS	10.0 SP1 6.7	5.3	中
CVE-2022-24679	Biz VBBSS	10.0 SP1 6.7	7.8	高
CVE-2022-24680	Biz VBBSS	10.0 SP1 6.7	7.8	高

脆弱性の概要

CVE-2022-24678: セキュリティエージェントのリソース枯渇によるサービス拒否の脆弱性
CVSSv3: 5.3: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Biz 及び VBBSS のセキュリティエージェントにおいて、リソース枯渇によるサービス拒否の脆弱性が確認されました。この脆弱性の悪用により、一時ログを大量に発生させることで全てのディスクスペースを消費させることができる可能性があります。

CVE-2022-24679: セキュリティエージェントのリンク解釈の問題による権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Biz 及び VBBSS のセキュリティエージェントにおいて、リンク解釈の問題による権限昇格の脆弱性が確認されました。この脆弱性の悪用により、ローカルで任意の場所に書き込み可能なフォルダを作成することで権限昇格を行うことができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

CVE-2022-24680: セキュリティエージェントのリンク解釈の問題による権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Biz 及び VBBSS のセキュリティエージェントにおいて、リンク解釈の問題による権限昇格の脆弱性が確認されました。この脆弱性の悪用により、ローカルでマウントポイントを作成し、任意のフォルダを削除したり権限昇格を行ったりすることができる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。

対処方法

製品/コンポーネント/ツール	バージョン	修正	Readme
Biz	10.0 SP1	Patch 2390	Readme
VBBSS	6.7	2021/11/22 のメンテナンス (6.7.1728 / 14.2.1389) および 2022/2/14 のメンテナンス (6.7.2051 / 14.2.2039) で修正済み	-

軽減要素

この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。

参照情報

ZDI-CAN-15047
ZDI-CAN-14926
ZDI-CAN-14815