Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft 社が 7 月のセキュリティ更新プログラムで 130 件以上の脆弱性を公開、4 件については悪用の事実を確認済み


2023年7月28日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、過去 1 年あまりで最も多くの脆弱性を公開しました。

同社は 130 件以上の脆弱性の詳細を公開しましたが、これは 2022 年 4 月以来 1 か月の最多件数です。「緊急」と評価された脆弱性が 10 件で、残りは「重要」となっています。

今月のセキュリティ更新プログラムにはアドバイザリも含まれています。これは、攻撃者が実際に悪用している Microsoft の署名付きドライバの問題を緩和するためのガイダンスを提供するものです。Talos は最近、ある攻撃事例を確認しました。Microsoft 社の Windows Hardware Developer Program(MWHDP)によって認証されたドライバに目を付けた攻撃であり、侵入後の攻撃活動でドライバが悪用されていました。Microsoft 社は、2023 年 2 月にこれに類する攻撃活動について通知を受けており、最近になって Talos の研究者が追加で詳細を報告しました。

評価は「重要」ですが、公開された脆弱性のうち、CVE-2023-32046CVE-2023-32049CVE-2023-35311CVE-2023-36874 の 4 件については悪用の事実が確認されています。

CVE-2023-32046 は Windows MSHTML プラットフォームにおける特権昇格の脆弱性です。具体的な詳細は明らかになっていませんが、Microsoft 社によると、標的のユーザーを騙して細工されたファイルをダウンロードさせ、そのファイルを開かせることができれば、アプリケーションを実行しているユーザーと同じアクセス権を得ることができます。

CVE-2023-32049 は Windows SmartScreen のセキュリティ機能をバイパスする脆弱性です。攻撃者がこの脆弱性をエクスプロイトし、ユーザーを騙して細工された URL をクリックさせることで、SmartScreen の「開いているファイル – セキュリティの警告」プロンプトをバイパスする可能性があります。

CVE-2023-35311 もセキュリティ機能をバイパスする脆弱性であり、Microsoft Outlook に存在します。この場合は、攻撃者が細工された URL を使用して、通常であれば表示される Microsoft Outlook の「セキュリティに関する通知」プロンプトをバイパスする可能性があります。

最後に取り上げる CVE-2023-36874 は、ローカル特権昇格の脆弱性です。攻撃者がローカルのファイルシステムにアクセスし、管理者権限を取得するためのフォルダやパフォーマンストレースを作成できるようになります。

7 月のセキュリティ更新プログラムでは「緊急」と評価された脆弱性が 10 件報告されており、先月の 5 件から増えています。このうち 8 件はリモートコード実行、1 件は特権の昇格、1 件はセキュリティ機能のバイパスを可能にします。Microsoft 社はこのうち 7 件について「悪用される可能性は低い」、2 件について「悪用される可能性が高い」と判断しています。「緊急」の脆弱性の中で、悪用の事実が確認されたものはありません。「悪用される可能性が高い」と評価された「緊急」の脆弱性は以下の 2 件です。

  • CVE-2023-35352:攻撃者が Windows リモートデスクトップでこの脆弱性をエクスプロイトし、リモートデスクトップ プロトコル セッションを確立するときに、証明書または秘密キーの認証をバイパスする可能性があります。
  • CVE-2023-33157:SharePoint に対してリストの管理権限を持つユーザーとして認証された攻撃者が、SharePoint Server 上でリモートからコードを実行する可能性があります。

この他に重要な脆弱性を 3 件挙げておきます。Microsoft 社によると、いずれも「悪用される可能性が高い」とのことです。

  • CVE-2023-21526:Windows Netlogon の情報漏洩の脆弱性
  • CVE-2023-33134:Microsoft SharePoint Server のリモートコード実行の脆弱性
  • CVE-2023-35312:Microsoft VOLSNAP.SYS の特権昇格の脆弱性

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、62010 ~ 62012、62022 ~ 62027、62034、62035 です。Snort 3 ルールとして 300607、300612、300613 も公開しており、このブログで取り上げた脆弱性の一部を検出することができます。

 

本稿は 2023 年 07 月 11 日に Talos Grouppopup_icon のブログに投稿された「Microsoft discloses more than 130 vulnerabilities as part of July’s Patch Tuesday, four exploited in the wildpopup_icon」の抄訳です。

 

Tags:
コメントを書く