Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社の製品およびソフトウェアで確認された 69 件の脆弱性についての情報を公開しました。このうち 5 件が「緊急」、45 件が「重要」、17 件が「警告」、2 件が「注意」と評価されています。
Microsoft 社が今月公開した脆弱性の中で悪用の事実が確認されたものはありませんでしたが、これは 4 か月ぶりのことです。先月公開された件数は、約 3 年ぶりの低水準となる 40 件にとどまりましたが、6 月は平均に近い件数となっています。
今月のセキュリティ更新プログラムでは、Cisco Talos が発見した Microsoft Excel の脆弱性 2 件も公開されています。いずれもシビラティ(重大度)が「重要」と評価されているリモートコード実行の脆弱性です。攻撃者が作成したファイルを標的となったユーザーが開くとエクスプロイトされます。
CVE-2023-29363、CVE-2023-32014、CVE-2023-32015 の 3 件は「緊急」の脆弱性です。Windows Pragmatic General Multicast(PGM)サーバー環境の脆弱性であり、リモートコードが実行される可能性があります。シビラティ(重大度)スコアは 9.8 点です。Windows のメッセージ キューイング サービスが実行されている Windows Pragmatic General Multicast(PGM)サーバー環境で、攻撃者がネットワーク経由で細工されたファイルを送信してリモートコードの実行に成功し、悪意のあるコードの実行を試みる危険性があります。Microsoft 社は、デフォルト状態の設定、標準構成、一般的なベストプラクティスを参照するよう推奨しています。これにより、脆弱性をエクスプロイトされた場合の深刻度を軽減できる可能性があります。
CVE-2023-29357 は Microsoft SharePoint Server の権限昇格の脆弱性です。シビラティ(重大度)スコアは同じく 9.8 点となっています。この脆弱性をエクスプロイトすると、管理者レベルの権限を取得できます。攻撃者が JSON Web Token(JWT)認証トークンへのアクセスを取得し、偽装トークンを使用したネットワーク攻撃により認証を迂回して、認証済みユーザーの権限にアクセスできるようになる可能性があります。この脆弱性のエクスプロイトには、ユーザーの操作を必要としません。Microsoft 社は、SharePoint Enterprise サーバーにすべての更新プログラムを適用するよう推奨しています。オンプレミスのお客様は、AMSI 機能を有効にすればこの脆弱性から保護できます。
このほか、Microsoft 社が「悪用される可能性が高い」と評価している「重要」な脆弱性もいくつか挙げておきます。
CVE-2023-28310 は、深刻度が「重要」とされているリモートコード実行の脆弱性で、Microsoft Exchange Server に存在します。Exchange Server と同じイントラネット上にいる認証された攻撃者が、PowerShell リモートセッションを介してリモートコードの実行に成功する可能性があります。
Windows Graphics Device Interface(GDI)に存在する権限昇格の脆弱性 CVE-2023-29358 は、Win32k カーネルドライバの解放済みメモリ使用(Use-After-Free)の脆弱性です。この脆弱性をエクスプロイトすると、SYSTEM レベルの権限を取得できます。
CVE-2023-29361 は、Windows Cloud Files Mini Filter ドライバの解放済みメモリ使用(Use-After-Free)の脆弱性です。エクスプロイトすると、やはり SYSTEM レベルの権限を取得できます。
Microsoft Exchange Server にはリモートコード実行の脆弱性 CVE-2023-32031 が存在します。シビラティ(重大度)スコアは 8.8 点です。この脆弱性をエクスプロイトすると、サーバーアカウントを標的として任意のコードやリモートコードを実行できます。攻撃者が認証されたユーザーとして、ネットワーク呼び出しを通じてサーバーアカウントのコンテキストで悪意のあるコードを実行しようとする恐れがあります。
深刻度は「重要」ですが、権限昇格の脆弱性がもう 1 件公開されています。それが CVE-2023-29371 で、Windows Win32k カーネルドライバに存在する脆弱性です。攻撃者が cCurves の値を更新せずにカーブを変更すると、カーブのエッジが処理される際に win32kfull で境界外書き込みが発生し、最終的にシステム権限を取得できるようになります。
深刻度が中程度の脆弱性で注目すべきなのが CVE-2023-29352 です。これは Windows リモートデスクトップに存在するセキュリティ機能バイパスの脆弱性です。この脆弱性のエクスプロイトに成功すると、署名のある有効な「.RDP」ファイルを作成して実行時に警告メッセージが表示されないようにすることで、リモートデスクトップ接続時の証明書の検証を回避できます。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、61907 〜 61911、61915、61916、61933 〜 61935、61937 〜 61939 です。Snort 3 ルールとして、300592、300593、300595、300600 もリリースされています。
本稿は 2023 年 06 月 13 日に Talos Group のブログに投稿された「Microsoft discloses 5 critical vulnerabilities in June’s Patch Tuesday, no zero-days」の抄訳です。