Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft 社が 8 月のセキュリティ更新プログラムで 6 件の「緊急」の脆弱性を公開

TALOS Japan
2023年8月17日

Microsoft 社は本日、同社の製品とソフトウェアで確認された 73 件の脆弱性について情報を公開しました。そのうち 6 件は「緊急」に分類される脆弱性です。

Microsoft 社が深刻度を「警告」と評価している脆弱性の 1 件については、実際に悪用されたことが確認されています。同社は今年の月例セキュリティ更新プログラムで多くのゼロデイ脆弱性に対処してきました。7 月は 4 件、5 月は 1 件のゼロデイ脆弱性が修正されています。また、実際に悪用の事実が確認されている手口から防御するために、多層防御モデルの変更に関するアドバイザリも公開しました。

緊急と評価された 6 件の脆弱性のうち、2 件は深刻度が「警告」で、残りは「重要」となっています。

緊急の脆弱性のうち 2 件は、人気の高い同社のコラボレーションおよびメッセージング プラットフォームである Microsoft Teams で確認されました。攻撃者が CVE-2023-29328 と CVE-2023-29330 をエクスプロイトし、被害ユーザーのコンテキストでリモートコードを実行する可能性があります。

攻撃者は、自分で作成した Teams 会議に被害者を誘導して参加させることで、これらの脆弱性をエクスプロイトすることができます。

この他に 3 件のリモートコード実行の脆弱性（CVE-2023-35385、CVE-2023-36910、CVE-2023-36911）が緊急と評価されており、それぞれ Windows 10、Windows 11、Windows Server の特定のバージョンの Microsoft メッセージキューサービスで確認されました。

Microsoft 社によると、メッセージキューサービスを悪用するには、標的とするマシンで同サービスを手動で有効にする必要があるとのことです。ユーザーは、デバイスで「Message Queuing」サービスが実行されているか、また、マシンでポート 1801 がリッスンしているか確認することで、脆弱かどうかを調べることができます。

8 月のセキュリティ更新プログラムで緊急とされた最後の脆弱性は、Microsoft Word のリモートコード実行の脆弱性である CVE-2023-36895 です。ただし、深刻度は 10 点中 7.8 点と、緊急の脆弱性としては比較的低くなっています。

Microsoft Exchange にも 4 件のリモートコード実行の脆弱性が確認されましたが、いずれも深刻度は「重要」です。

同社によると、Exchange Server と同じイントラネット上にいる認証済みの攻撃者は、CVE-2023-35388、CVE-2023-35368、CVE-2023-38182、CVE-2023-38185 をエクスプロイトすることで、PowerShell のリモートセッションを通じてリモートコードを実行することができます。

攻撃者が Exchange Server の脆弱性を悪用できるのは、LAN アクセスでログインできる有効な認証情報を持っていて、有効な Exchange ユーザーアカウントを利用できる場合のみです。

Windows カーネルでも問題が確認されています。それが CVE-2023-35359、CVE-2023-35380、CVE-2023-35382、CVE-2023-35386 の 4 件の特権昇格の脆弱性であり、攻撃者が SYSTEM レベルの権限を取得できる可能性があります。

Microsoft 社のアドバイザリによると、これらの問題は「悪用される可能性が高い」とされています。ただしそのためには、まず攻撃者が標的のマシンへのローカルアクセス権を持っている必要があります。さらに、標的となったユーザーがマシン上でフォルダとパフォーマンストレースを作成できる必要がありますが、この権限は大半のユーザーがデフォルトで持っています。

もう 1 つの特権昇格の脆弱性 CVE-2023-36900 は、Windows 共通ログファイルシステムのドライバに存在します。攻撃者はこの脆弱性をエクスプロイトして SYSTEM レベルの権限を取得することもできますが、そのためにはまず、標準ユーザーの権限で標的のシステムにログインできるようにする必要があります。

Microsoft 社によると、悪用の事実が確認されている脆弱性は CVE-2023-38180 のみで、これは、.NET と Microsoft Visual Studio におけるサービス拒否の脆弱性です。現在、この問題については詳細がほとんど明らかになっていませんが、同社によると攻撃の複雑さは「低」であり、この脆弱性をエクスプロイトするにあたってユーザーの権限や操作は必要ありません。

Talos は、深刻度が「重要」の 5 件の脆弱性についても注目しています。Microsoft 社が「悪用される可能性は低い」と評価しているものですが、これらの問題は人気の高い Microsoft Office 製品に存在し、リモートコードが実行される可能性があるため、注意するに越したことはありません。

• CVE-2023-35371
• CVE-2023-35372
• CVE-2023-36865
• CVE-2023-36866
• CVE-2023-36896

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、40689、40690、62202、62203、62208 ～ 62211、62215、62216 です。Snort 3 ルールの 300648 ～ 300650、300652 もあります。

本稿は 2023 年 08 月 08 日に Talos Group のブログに投稿された「Six critical vulnerabilities included in August’s Microsoft security update」の抄訳です。

• セキュリティ更新プログラム