アラート/アドバイザリ:Trend Micro Apex One および Apex One SaaS で確認された複数の脆弱性について(2024年5月)
Trend Micro Apex One (以下、Apex One) および Trend Micro Apex One SaaS (以下、Apex One SaaS) において、 複数の脆弱性(CVE-2024-36302 から CVE-2024-36307、および CVE-2024-37289)を確認しました。
DCX
脆弱性の概要
CVE-2024-36302、CVE-2024-36303: 送信元の検証の不十分さによる権限昇格の脆弱性
ZDI-CAN-22039, ZDI-CAN-22481
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One および Apex One SaaS のセキュリティエージェントにおいて、送信元の検証の不十分さによる権限昇格の脆弱性が確認されました。この脆弱性により、攻撃者はローカルで権限昇格を行える可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。CVE-2024-36304: Time-of-check Time-of-use (TOCTOU) 競合状態による権限昇格の脆弱性
ZDI-CAN-22667
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One および Apex One SaaS のセキュリティエージェントにおいて、Time-of-check Time-of-use (TOCTOU) 競合状態の脆弱性が確認されました。この脆弱性により、攻撃者はローカルで権限昇格を行える可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。CVE-2024-36305: リンク解釈の問題による権限昇格の脆弱性
ZDI-CAN-22693
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One および Apex One SaaS のセキュリティエージェントにおいて、リンク解釈の問題の脆弱性(Link following)が確認されました。この脆弱性により、攻撃者はローカルで権限昇格を行える可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。CVE-2024-36306: ダメージクリーンナップエンジンにおけるリンク解釈の問題によるDoS攻撃の脆弱性
ZDI-CAN-22038
CVSSv3: 6.1: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
Apex One および Apex One SaaS のセキュリティエージェントのダメージクリーンナップエンジンにおいて、リンク解釈の問題の脆弱性(Link following)が確認されました。この脆弱性により、攻撃者は Dos攻撃を行える可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。CVE-2024-36307: リンク解釈の問題による情報開示の脆弱性
ZDI-CAN-22032
CVSSv3: 4.7: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Apex One および Apex One SaaS のセキュリティエージェントにおいて、リンク解釈の問題の脆弱性(Link following)が確認されました。この脆弱性により、攻撃者が本来閲覧できない情報の一部情報を確認することができる可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。CVE-2024-37289: 不適切な権限の付与による権限昇格の脆弱性
DCX
ZDI-CAN-21599
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Apex One および Apex One SaaS において不適切なアクセス権限の脆弱性が確認されました。この脆弱性により、攻撃者はローカルで権限を昇格することができる可能性があります。
この脆弱性を悪用するには、対象のシステムで低い権限でコードを実行できる必要があります。
修正される問題
本リリースは、 次の各問題を修正します。問題 1 (pct-19923),
セキュリティエージェントでファイアウォールが無効化または有効化されると、セキュリティエージェントのエンドポイントでファイアウォールサービスが正しく機能しなくなる場合があります。修正
本リリースの適用後は、Apex Oneセキュリティエージェントプログラムが更新され、この問題が解決されます。
問題 2 (pct-19475),
Webコンソールで挙動監視の除外を設定すると、セキュリティエージェントコンソールで1つまたは複数のユーザ定義の除外が自動的に削除される場合があります。修正
本リリースの適用後は、Apex Oneセキュリティエージェントプログラムが更新され、この問題が解決されます。
問題 3 (pct-17951),
Webコンソールでの証明書のインポート操作に対して、システムでイベントログが生成されません。修正
本リリースの適用後は、Apex Oneサーバプログラムが更新され、この問題が解決されます。
問題 4 (pct-20081),
更新プロセスに関連する問題により、セキュリティエージェントで、Apex Centralからの疑わしいオブジェクトリストが同期されない場合がありました。修正
本リリースの適用後は、Apex Oneセキュリティエージェントプログラムが更新され、この問題が解決されます。
問題 5 (pct-18950),
Webコンソールのダッシュボードに、脅威の種類が正しく表示されない場合があります。修正
本リリースの適用後は、Apex Oneサーバプログラムが更新され、この問題が解決されます。
問題 6 (pct-18343),
Webコンソールのダッシュボードで、ユーザが挙動監視の「不明な脅威の検出」リンクをクリックしても、関連するログエントリが表示されません。修正
本リリースの適用後は、Apex Oneサーバプログラムが更新され、この問題が解決されます。
問題 7 (pct-21898),
Webコンソールのサーバアップデート元画面で、「その他のアップデート元」設定を構成できないという問題がありました。修正
本リリースの適用後は、Apex Oneサーバプログラムが更新され、この問題が解決されます。
問題 8 (pct-3628),
最初の検出に成功した後、Apex OneセキュリティエージェントがCDに保存されているEICARテストファイルを検出できなくなる問題修正
本リリースの適用後は、Apex Oneセキュリティエージェントプログラムがアップデートされ、この問題が修正されます。
手順
この機能を有効にするには:
本リリースをインストールします (「インストール」を参照)。
テキストエディタを使用して、Apex Oneサーバのインストールディレクトリの「\PCCSRV\」フォルダにある「ofcscan.ini」ファイルを開きます。
[Global Setting] セクションに次のキーを追加し、その値を「04,00」に設定します。
[Global Setting]
VsapiNtkdControlFlag = 04,00
変更内容を保存してファイルを閉じます。
Apex One Webコンソールを開き、[エージェント] > [グローバルエージェント設定] 画面に移動します。
[保存] をクリックして設定をセキュリティエージェントに配信します。Apex Oneサーバからセキュリティエージェントにコマンドが配信され、すべてのセキュリティエージェントエンドポイントで次のレジストリエントリが追加されます。
キー名: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TmFilter\Parameters\
名前: VsapiNtkdControlFlag
種類: BINARY
データ: 04 00
新機能
本リリースでは、 次の新機能が提供されます。機能 1 (VRTSJIRACLOUD-11701), (VRTSJIRACLOUD-11702),
ウイルス検索エンジンがアップデートされ、リンク追跡によるローカル権限昇格のセキュリティ上の問題から保護されるようになります (ZDI-CAN-22693)(CVSS 3.0, Score 7.8)。機能 2 (VRTSJIRACLOUD-11557), (VRTSJIRACLOUD-11558),
ウイルス検索エンジンがアップデートされ、リンク追跡による情報開示のセキュリティ上の問題から保護されるようになります ( ZDI-CAN-22032)(CVSS 3.0, Score 4.7)。機能 3 (acc-2161),
本リリースの適用後は、挙動監視におけるアタックサーフェスリダクション (ASR) ルールのサポートが追加され、製品のセキュリティ機能が強化されます。機能 4 (VRTSJIRACLOUD-12006), (VRTSJIRACLOUD-12077),
本リリースの適用後は、セキュリティエージェントプラグインのユーザインタフェースマネージャがアップデートされ、潜在的なセキュリティ上の問題から保護されるようになります (CVSS 3.0, Score 7.3)。機能 5 (VRTSJIRACLOUD-11896), (VRTSJIRACLOUD-11897),
本リリースの適用後は、ウィジェットのコンポーネントがアップデートされ、ローカルファイルインクルードによるリモートコード実行のセキュリティ上の問題から保護されるようになります (ZDI-CAN-23401)(CVSS 3.0, Score 7.5)。機能 6 (ACC-4712),
Trend Micro Apex One™ Readme
本リリースの適用後は、ウィジェットのコンポーネントがアップデートされ、SQLインジェクションのセキュリティ上の問題から保護されるようになります。
Trend Micro Apex Central™ as a Service
本リリースは、 次の各問題を修正します。問題 1 (pct-14694),
予約レポートが生成できない問題修正
本リリースの適用後は、この問題が修正されます。
問題 2 (pct-19508),
[配信] をクリックしてポリシーを手動配信すると、 Apex Oneドメイン階層ポリシーのフィルタ条件のキーワードが予期せず変更されます。修正
このHotFixにより、この問題は解決されます。
問題 3 (pct-18336),
新しく作成されたエンドポイントグループが、Trend Vision Oneの [Endpoint Inventory] に表示されないことがある問題修正
本リリースの適用後は、この問題が修正されます。
問題 4 (pct-21413), (pct-19108),
選択したエンドポイントを、Trend Vision Oneのエンドポイントインベントリで新しく作成されたエンドポイントグループに移動できません。修正
このHotFixにより、この問題は解決されます。
問題 5 (pct-21086),
ユーザがStandard Endpoint Protectionの製品インスタンスに対する権限を持っていない場合でも、関連付けられているエンドポイントはTrend Vision Oneのエンドポイントインベントリに表示されます。修正
このHotFixにより、この問題は解決されます。
問題 6 (pct-20631),
Standard Endpoint Protectionにアップデートすると、データのない予約レポートが生成されることがあります。修正
このHotFixにより、この問題は解決されます。
問題 7 (pct-20495),
ポリシー所有者リストまたは連絡先グループリストに、誤ったユーザ情報が表示されることがあります。修正
このHotFixにより、この問題は解決されます。
問題 8 (pct-23043),
syslog APIを使用してログ情報を取得できません。修正
このHotFixにより、この問題は解決されます。
問題 9 (pct-21832),
多要素認証モジュールに関連する問題により、ユーザがWebコンソールにログインできない場合があります。修正
このHotFixにより、この問題は解決されます。
問題 10 (pct-16455),
Webコンソールの[セキュリティ状態]ウィジェットに表示される「ウイルス対策パターンファイルへの準拠」の割合情報が一致しません。修正
このHotFixにより、この問題は解決されます。
問題 11 (pct-17849),
ユーザは、中括弧{}を含むURLオブジェクトをWebコンソールのユーザ定義の不審オブジェクトリストに追加できません。修正
このHotFixにより、この問題は解決されます。
問題 12 (pct-23341),
Apex Centralで使用されるJavaランタイム環境 (JRE) モジュールに潜在的な脆弱性が見つかりました。修正
このHotFixでは、関連するモジュールがアップデートされ、脆弱性から保護されます。
問題 13 (pct-23427),
ログクエリの結果に機械学習型検索の検出ログが表示されないことがあります。修正
HotFixはこの問題を解決します。
Trend Micro Apex One™ as a Service
本リリースは、 次の各問題を修正します。問題 1 (pct-23634), (pct-24055), (pct-24176), (pct-24222), (pct-24303), (pct-24711), (ACC-4704),
Apex Oneマスターサービス (ofcservice) に関連する問題により、Apex Oneで予約タスクが正常に実行されない場合があります。修正
本リリースの適用後は、Apex Oneサーバプログラムがアップデートされ、この問題が修正されます。
問題 2 (pct-23499),
Apex CentralからのData Discoveryログの検索結果が、[ログクエリ] 画面に表示されないことがあります。修正
本リリースの適用後は、Apex Oneサーバプログラムがアップデートされ、この問題が修正されます。
問題 3 (pct-19161),
Trend Micro Virtual Patch Agentに関連する問題により、 Apex OneセキュリティエージェントのエンドポイントにサードパーティのVPNプログラムをインストールできない場合があります。修正
このHotFixは、 Apex Oneセキュリティエージェントプログラムをアップデートして、この問題を解決します。
問題 4 (pct-18791),
Apex Oneの情報漏えい対策(DLP) サービスが、Google ChatまたはGoogle Spacesで正しく機能しないことがあります。修正
このHotFixは、データ保護モジュールをバージョン6.2.5323にアップデートして、この問題を解決します。
問題 5 (pct-18692),
セキュリティエージェントコンソールのコンソールフライオーバーメニューに、 仮想パッチ機能のステータスが正しく表示されないことがあります。修正
このHotFixは、 Apex Oneセキュリティエージェントプログラムをアップデートして、この問題を解決します。
問題 6 (pct-22401),
エンドポイントにApex Oneセキュリティエージェントをインストールした後、 Apex Oneデータ保護サービスが正常に起動しないことがあります。修正
このHotFixは、 Apex Oneセキュリティエージェントプログラムをアップデートして、この問題を解決します。
問題 7 (pct-16681),
Apex Oneのファイル名検証チェックメカニズムに関連する問題により、 Apex OneセキュリティエージェントからApex Oneサーバに違反検出ログが適切に送信されない場合があります。修正
本リリースの適用後は、Apex Oneサーバプログラムがアップデートされ、この問題が修正されます。
問題 8 (pct-20033), (pct-24624), (acc-3943), (acc-4855),
Trend Vision One連携のためのApex Oneセキュリティエージェントのプロキシサーバ接続に関連する問題により、コンピュータの起動が遅くなることがあります。修正
このHotFixは、 Apex Oneセキュリティエージェントプログラムをアップデートして、この問題を解決します。
Trend Micro Apex One™ (Mac) as a Service
本リリースで修正される問題はありません。新機能
Trend Micro Apex Central™ as a Service
本リリースでは、 次の新機能が提供されます。機能 1 (pct-14568),
このHotFixでは、C&Cコールバックのログクエリ結果を表示するための新しい「処理」列が追加され、データの可視性が向上します。機能 2 (VRTSJIRACLOUD-11472),
このHotFixにより、 Apex One (Mac)ウィジェットがアップデートされ、リモートコード実行のセキュリティ問題から保護されます。機能 3 (pct-17261),
このHotFixを適用すると、 Apex Centralで管理下のセキュリティエージェントの履歴レコードを生成できます。Trend Micro Apex One™ as a Service
本リリースでは、 次の新機能が提供されます。機能 1 (VRTSJIRACLOUD-11701), (VRTSJIRACLOUD-11703),
ウイルス検索エンジンがアップデートされ、リンク追跡によるローカル権限昇格のセキュリティ上の問題から保護されるようになります (ZDI-CAN-22693)(CVSS 3.0, Score 7.8)。機能 2 (VRTSJIRACLOUD-11557), (VRTSJIRACLOUD-11559),
ウイルス検索エンジンがアップデートされ、リンク追跡による情報開示のセキュリティ上の問題から保護されるようになります (ZDI-CAN-22032)(CVSS 3.0, Score 4.7)。機能 3 (VRTSJIRACLOUD-12006), (VRTSJIRACLOUD-12007),
本リリースの適用後は、セキュリティエージェントプラグインのユーザインタフェースマネージャがアップデートされ、潜在的なセキュリティ上の問題から保護されるようになります (CVSS 3.0, Score 7.3)。機能 4 (VRTSJIRACLOUD-11896), (VRTSJIRACLOUD-11898),
本リリースの適用後は、ウィジェットのコンポーネントがアップデートされ、ローカルファイルインクルードによるリモートコード実行のセキュリティ上の問題から保護されるようになります (ZDI-CAN-23401)(CVSS 3.0, Score 7.5)。機能 5 (ACC-1622),
このHotFixにより、Intel® Threat Detection Technology (Intel® TDT) のサポートが追加され、ハードウェアレベルでのメモリプロセス検索のパフォーマンスが向上します。機能 6 (acc-4171),
このHotFixは、ユーザエクスペリエンスを向上させるために、セキュリティエージェントの1時間ごとのアップデート頻度の予約アップデートの設定プロセスをアップデートします。機能 7 (acc-2617),
このHotFixにより、 Apex CentralのApex Oneセキュリティエージェントのポリシー設定がアップデートされ、サイズの大きい圧縮ファイルの検索設定と不正プログラム対策検索の予約検索設定が追加されます。注意: Apex One as a ServiceサーバがオンプレミスバージョンのApex Centralに登録されている場合、このアップデートを適用するには、 Apex Central Patch 8ビルド8.0.0.6796以降をインストールする必要があります。詳細については、「https://success.trendmicro.com/dcx/s/solution/000298000?language=ja」を参照してください。
機能 8 (acc-3660), (acc-4147), (acc-4545), (acc-4915), (acc-4453),
このHotFixでは、挙動監視コアサービスモジュールをバージョン2.98.2012にアップデートして、製品のセキュリティを強化します。Trend Micro Apex One™ (Mac) as a Service
本リリースでは、 次の新機能が提供されます。機能 1 (macepp-318),
このHotFixでは、 Apex One (Mac)のNewtonsoft.Jsonモジュールがアップデートされ、製品のセキュリティが強化されます。機能 2 (macepp-502),
このHotFixは、 Apex One (Mac) セキュリティエージェントプログラムのコアモジュールをアップデートして、システムパフォーマンスを向上させます。機能 3 (macepp-355),
Trend Micro Apex One™ as a Service Readme
このHotFixにより、 Apex One (Mac)サーバのログレベルがアップデートされ、システムパフォーマンスが向上します。
問題 1: 挙動監視による ntoskrnl.exe の誤検出
原因: 既存のポリシー施行パターンと、2024 年 5 月定期メンテナンス ビルド に含まれる最新の挙動監視エンジンとの互換性の問題が確認されました。
解決策: ポリシー施行パターン バージョン 1.260.00 (2024 年 5 月 22 日 17:07 UTC+0 に Trend Micro ActiveUpdate (AU) サーバーから配信) に更新することで、この問題は解決されます。
問題 2: 情報漏えい対策オプション が有効になっている一部のエンドポイントで CPU 使用率が高くなる
原因: この問題は 2024 年 3 月のメンテナンス ビルドで発生したことが判明しました。このビルドでは、監視要求が異常にキューに入れられ、Windows システム カーネルに蓄積される可能性があります。
この問題の修正は 2024 年 5 月のメンテナンス ビルドに含まれていますが、更新プロセス中に古いモジュールをアンロードすると、サイズが大きすぎるキューがクリアされるため、CPU 使用率が高くなる場合があることが確認されています。解決策: 異常なキューの問題は 2024 年 5 月のメンテナンス ビルドで解決されており、CPU 使用率が高いエンドポイント クライアントでは、サービスを正常に再起動できない場合にシステムの再起動が必要になる場合があります。
DCX
