Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェアとソフトウェアの製品で確認された 64 件の脆弱性を公開しました。先月は記録的な数の脆弱性が公開されましたが、そこから急減しています。
9 月のセキュリティ更新プログラムで「緊急」に分類された脆弱性は 5 件で、先月より 10 件減っています。深刻度が「警告」の脆弱性が 2 件、低セキュリティの問題が 1 件あり、後者には先日の Google Chromium アップデートの一環としてすでにパッチが適用されています。残りは「重要」とされた脆弱性です。
最も深刻度が高い脆弱性は Windows Server の複数のバージョンと Windows 10 に存在します。攻撃者に悪用された場合、細工された IPv6 パケットを IPSec が有効になっている Windows ノードに 1 つ送信することで、リモートコード実行(RCE)が可能になるおそれがあります。CVE-2022-34718 は、IPSec が有効になっているインスタンスにのみ影響を与えます。Microsoft 社によると、この脆弱性の重大度スコアは 10 点中 9.8 点であり、悪用される「可能性が高い」とのことです。
Microsoft 社は、現在盛んに悪用されている 1 件の脆弱性(CVE-2022-37969)を公開しました。同社のアドバイザリによると、この脆弱性はすでに広く出回っており、攻撃者に悪用された場合、Windows 共通ログファイル システム ドライバを利用してシステムレベルの権限が取得される可能性があるとのことです。攻撃者は、まず標的のシステムにアクセスしてから特定のコードを実行する必要がありますが、ユーザーの操作は必要ありません。
Microsoft 社によると、CVE-2022-34721 と CVE-2022-34722 の重大度スコアも 9.8 点ですが、悪用される「可能性は低い」とされています。どちらも、Windows Internet Key Exchange プロトコルのリモートコード実行の脆弱性であり、攻撃者が細工された IP パケットを送信した場合にトリガーされる可能性があります。
他の深刻度が「緊急」の脆弱性 2 件(CVE-2022-35805 と CVE-2022-34700)は Microsoft Dynamics 365 のオンプレミスインスタンスに存在します。認証された攻撃者がこれらの脆弱性を悪用し、細工された信頼済みのソリューションパッケージを実行して任意の SQL コマンドを実行するおそれがあります。攻撃者は、自身の権限をさらに昇格させて、データベース所有者としてコマンドを実行する可能性があります。
この他に重要な脆弱性を 5 件挙げておきます。Microsoft 社によると、いずれも悪用される「可能性が高い」とのことです。
- CVE-2022-37957:Windows カーネルの特権昇格の脆弱性
- CVE-2022-35803:Windows 共通ログファイル システム ドライバの特権昇格の脆弱性
- CVE-2022-37954:DirectX グラフィックカーネルの特権昇格の脆弱性
- CVE-2022-34725:Windows ALPC の特権昇格の脆弱性
- CVE-2022-34729:Windows GDI の特権昇格の脆弱性
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、60546、60547、60549、60550、60552 ~ 60554 です。Snort 3 ルール 300266 ~ 300270 もリリースしました。
本稿は 2022 年 09 月 13 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for September 2022 — Snort rules and prominent vulnerabilities」の抄訳です。