2020 年 9 月以降、最も脆弱性の数が多かった 4 月の Microsoft 月例セキュリティ更新プログラム
Microsoft 社は本日、最新のセキュリティ更新プログラムをリリースし、同社製品で確認された 140 を超える脆弱性についての情報を公開しました。今年に入り、月例セキュリティ更新プログラムで修正された脆弱性は毎月数十件程度でしたが、今月は、1 回の更新プログラムで公開された問題の数としては 2020 年 9 月以降で最多となっています。
これらの脆弱性のうち 10 件は「緊急」と評価されています。このほか、3 件の脆弱性については重大度が「警告」となっており、残りは「重要」と評価されています。Chromium Web ブラウザで最初に発見されたものの、Microsoft Edge にも影響する 9 件の脆弱性もあります。これは、Microsoft Edge が Chromium ベースのブラウザだからです。これらの問題にパッチを適用するために、Edge ユーザーが何らかのアクションを実行する必要はありません。
Windows Hyper-V には 3 件の「緊急」の脆弱性(CVE-2022-23257、CVE-2022-24537、CVE-2022-22008)があり、今月パッチが適用されています。悪用されると、リモートでコードが実行される危険性があります。細工されたファイルを開くと脆弱性がトリガーされるようになっており、その後、攻撃者が細工されたアプリケーションを Hyper-V のゲスト上で実行する可能性があります。これにより、Hyper-V のホスト OS 上で任意コードが実行される恐れがあります。
Windows ネットワーク ファイル システム(NFS)にも「緊急」の脆弱性が 2 件(CVE-2022-24491 および CVE-2022-24497)あります。いずれもリモートでコードが実行される脆弱性です。Windows Server システムで NFS が有効になっている場合のみ、これらの脆弱性がエクスプロイトされる可能性があります。
CVE-2022-24500 もリモートでコードが実行される「緊急」の脆弱性で、Windows SMB に存在します。攻撃者は、ユーザーが悪意のある SMB サーバーにアクセスするように仕向け、API 呼び出しの一部としてデータを取得することにより、この脆弱性をトリガーする可能性があります。影響を受ける場合は、Microsoft のパッチをインストールするだけでなく、企業の境界ファイアウォールで TCP ポート 445 をブロックするか、SMB トラフィックの横方向接続やネットワークへの出入りをブロックすることで問題を軽減することもできます。
LDAP プロトコルの脆弱性である CVE-2022-26919 にも注意が必要です。これも「緊急」の脆弱性であり、攻撃者が標的のマシン上で任意のコードを実行する可能性があります。攻撃者は、有効な認証情報を使用して標的のドメインにログインする必要があります。また、この脆弱性がエクスプロイトされる可能性があるのは、標的のマシンで管理者が LDAP の設定をデフォルトから変更(MaxReceiveBuffer の最大値を増加)していた場合のみです。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、59497、59498、59511、59512、59519 ~ 59526、59529、59530 ~ 59535 です。
本稿は 2022 年 04 月 12 日に Talos Group
のブログに投稿された「Microsoft Patch Tuesday includes most vulnerabilities since Sept. 2020
Tags:
