Cisco Japan Blog

Microsoft セキュリティ更新プログラム(月例):2023 年 4 月に公開された脆弱性と、対応する Snort ルール

1 min read



Microsoft 社は本日、月例のセキュリティ更新プログラムとパッチをリリースしました。ゼロデイ脆弱性の修正が月例のセキュリティ更新プログラムで行われる傾向が続いています。

4 月に対応された脆弱性のうち 1 件が実際に悪用されています。「緊急」の脆弱性も 8 件含まれており、残りの 90 件が「重要」に分類されています。

CVE-2023-28252 は、Windows 共通ログファイル システムドライバの特権昇格の脆弱性です。現在のところ概念実証コードは使用できませんが、Microsoft 社によると悪用が確認されています。この脆弱性により SYSTEM レベルの権限が取得される可能性があります。

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)はすでに「既知の悪用された脆弱性カタログ」にこの脆弱性を追加popup_iconしており、連邦機関に対し、早急にパッチを適用するよう求めています。

Microsoft 社は昨年 9 月にも、特権昇格の可能性がある今回と同様のゼロデイ脆弱性 CVE-2022-37969 を公表しています。月例セキュリティ更新プログラムの公開前に脆弱性が 1 件でも悪用されたのは、今月で 3 か月連続です。

Microsoft 社が対応した「緊急」の脆弱性のうちの 2 件が CVE-2023-28219CVE-2023-28220 であり、いずれもレイヤ 2 トンネリングプロトコルの脆弱性です。認証されていない攻撃者が、細工された接続要求を RAS サーバーに送信する可能性があり、それによって RAS サーバーでリモートコードが実行される恐れがあります。いずれの脆弱性もエクスプロイトするのにユーザーの操作を必要としませんが、攻撃者は競合状態を制する必要があります。

最も深刻度の高い問題の 1 つが CVE-2023-21554 で、これは Microsoft Message Queuing システムのリモートコード実行の脆弱性です。Microsoft 社は「悪用される可能性が高い」と考えており、CVSS シビラティ(重大度)スコアは 10 点中 9.8 点です。この脆弱性の悪用による影響を受けるかを調べるには、マシンで「Message Queuing」サービスが有効になっているかと、TCP ポート 1801 がリッスンされているかをチェックしてください。

CVE-2023-28231 は DHCP サーバーサービスのリモートコード実行の脆弱性であり、こちらも「悪用される可能性が高い」とされています。細工された RCP 呼び出しを標的の DHCP サーバーに送信することで、攻撃者がこの脆弱性をエクスプロイトする可能性があります。ただし攻撃者はまず、アクセスが制限されたネットワークへのアクセス権を得る必要があります。

他に 4 件の脆弱性が「緊急」と分類されています。この 4 件について、Microsoft 社は「悪用される可能性は低い」としています。

  • CVE-2023-28232:Windows Point-to-Point トンネリングプロトコルのリモートコード実行の脆弱性
  • CVE-2023-28240:Windows Network Load Balancing のリモートコード実行の脆弱性
    CVE-2023-28250:Windows Pragmatic General Multicast(PGM)のリモートコード実行の脆弱性
  • CVE-2023-28291:Raw Image Extension のリモートコード実行の脆弱性

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、61606、61607、61613 〜 61620 です。Snort 3 ルールの 300496、300499、300500 もリリースされています。

 

本稿は 2023 年 04 月 11 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for April 2023 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

コメントを書く