Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社の製品およびソフトウェアで確認された 120 件を超える脆弱性についての情報を公開しました。1 回の更新プログラムで修正された件数としては、直近の 4 か月間で最多となります。
Microsoft 社によると、今回の更新プログラムには、実際にエクスプロイトが多発している Microsoft Windows サポート診断ツール(MSDT)の新しい脆弱性に対する修正も含まれています。MSDT は、6 月に「Follina」というゼロデイ脆弱性の標的になりました。
8 月のセキュリティ更新プログラムで修正された脆弱性の内訳は、「緊急」が 15 件、「警告」と「注意」が 1 件で、残りはすべて「重要」となっています。
「緊急」の脆弱性である CVE-2022-35743 と CVE-2022-34713 の 2 件は、MSDT のリモートコード実行の脆弱性です。なお、実際にエクスプロイトされているのは CVE-2022-34713 のみで、こちらの方がエクスプロイトされる「可能性が高い」と Microsoft 社が評価しています。
Microsoft Exchange Server には、CVE-2022-21980 と CVE-2022-24477 の 2 件の脆弱性があります。いずれも「緊急」の特権昇格の脆弱性です。攻撃者がホストする悪意のあるサーバーや Web サイトに標的がアクセスするように仕向け、攻撃者がこれらの脆弱性をエクスプロイトする可能性があります。影響を受ける可能性のあるユーザーは、本日リリースされたパッチを適用するほか、脆弱なバージョンのサーバーでは拡張保護(Extended Protection)を有効にすることをお勧めします。
Windows の PPTP(Point-to-Point Tunneling Protocol)も、3 件の「緊急」の脆弱性の影響を受けます。CVE-2022-35744 と CVE-2022-30133 の 2 件がエクスプロイトされた場合、攻撃者が RAS サーバーマシン上でリモートコードを実行できるようになる危険性があります。一方、CVE-2022-35747 がエクスプロイトされると、サービス拒否の状態に陥る可能性があります。CVE-2022-35744 の CVSS 重大度スコアは 10 点中 9.8 点で、今月最も重大度の高い脆弱性の 1 つです。攻撃者は、ポート 1723 経由で通信し、これらの脆弱性をエクスプロイトする可能性があります。影響を受けるユーザーは、このポートをブロックすることで脆弱性のエクスプロイトを防げますが、その場合、他の正当な通信の妨げとなる危険性があります。
CVE-2022-35804も「緊急」と評価されているコード実行の脆弱性で、SMB クライアントとサーバー、およびプロトコルが特定のリクエストを処理する方法に影響します。攻撃者は、悪意のある SMBv3 サーバーを構成し、ユーザーをだましてフィッシングリンクを介して接続させることで、SMB クライアントでこの脆弱性をエクスプロイトする可能性があります。また、細工されたパケットをサーバーに送信し、サーバーでエクスプロイトする可能性もあります。
Microsoft 社は、CVE-2022-35804 のエクスプロイトから保護するために、ポート 445 へのアクセスをブロックすることをユーザーに推奨しています。なお、この脆弱性の影響を受けるのは、Windows 11 の特定のバージョンのみです。
このほか、悪用される「可能性が高い」と Microsoft 社が評価している 8 件の重要な脆弱性も挙げておきます。
- CVE-2022-34699:Win32k における特権昇格の脆弱性
- CVE-2022-35748:sys におけるサービス拒否の脆弱性
- CVE-2022-35750:Win32k における特権昇格の脆弱性
- CVE-2022-35751:Windows Hyper-V における特権昇格の脆弱性
- CVE-2022-35755:Windows 印刷スプーラーにおける特権昇格の脆弱性
- CVE-2022-35756:Windows Kerberos における特権昇格の脆弱性
- CVE-2022-35761:Windows カーネルにおける特権昇格の脆弱性
- CVE-2022-35793:Windows 印刷スプーラーにおける特権昇格の脆弱性
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、60371 ~ 60384、60386、60387 です。Snort 3 ルール 300233 ~ 300239 もあります。
本稿は 2022 年 08 月 09 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for August 2022 — Snort rules and prominent vulnerabilities」の抄訳です。