脅威リサーチ

Microsoft セキュリティ更新プログラム（月例）：2022 年 10 月に公開された脆弱性と、対応する Snort ルール

TALOS Japan
2022年10月18日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、Windows PPTP（ポイントツーポイントトンネリングプロトコル）における 7 件の「緊急」の問題など、同社のハードウェアとソフトウェアの製品で見つかった 83 件の脆弱性を公開しました。

10 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 11 件で、残りは「重要」となっています。

Microsoft 社が今月修正した最も注目すべき脆弱性の 1 つが CVE-2022-41038 で、これは Microsoft SharePoint のリモートコード実行の問題です。今月の月例パッチには SharePoint の脆弱性が他にも数件含まれていますが、最も深刻なのがこの脆弱性のようで、Microsoft 社の評価では引き続き「悪用される可能性が高い」となっています。

この脆弱性を悪用するには、SharePoint リストの管理権限を持つ正規ユーザーとして標的のサイトで認証を受ける必要があります。エクスプロイトが成功すると、攻撃者が SharePoint サーバーでリモートコードを実行できるようになります。

CVE-2022-37968 は、Azure Arc Connect の特権昇格の脆弱性です。Microsoft 社が今月修正したすべての脆弱性の中で最も重大度スコアが高く、10 点中 10 点となっています。この脆弱性がエクスプロイトされると、Azure Arc 対応 Kubernetes クラスタのクラスタ接続機能に影響が出ます。その結果、認証されていないユーザーがクラスタ管理者として特権を昇格させ、Kubernetes クラスタを管理できるようになる可能性があります。

CVE-2022-37976 と CVE-2022-37979 も重大度の高い特権昇格の脆弱性です。前者は Windows Active Directory、後者は Hyper-V に存在します。

Windows PPTP（ポイントツーポイントトンネリングプロトコル）では、Microsoft 社が今週火曜日に公開した 8 件の脆弱性が見つかっており、そのうち 7 件は「緊急」と評価されています。PPTP は、パブリックネットワーク間に VPN トンネルを作成するために使用されるネットワークプロトコルです。

中でも特に深刻な脆弱性が CVE-2022-38000 であり、重大度スコアは 9 点です。攻撃者がこの問題を悪用して、リモートサーバーでリモートコードを実行する危険性があります。

Microsoft Office と Word でも、重大度の高いリモートコード実行の脆弱性が発見されています。両製品は世界でも人気の高いソフトウェアであり、ユーザーを欺いて細工されたドキュメントを開かせるだけで脆弱性をエクスプロイトできるため、攻撃の標的になりやすくなっています。

Microsoft 社は、Google Chromium の 12 件の脆弱性も公開しています。Google Chromium は Microsoft Edge ブラウザの基盤となっているオープンソースの Web ブラウザです。Google はこれらの問題をすでに公開して修正しているため、パッチを当てるためにユーザーが追加の措置を講じる必要はありません。

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、60693 ～ 60696、60698 ～ 60701、60706、60701 ～ 60705、60708、60709 です。Snort 3 SID 300290 ～ 300296、300297、300298 もご利用いただけます。