Microsoft 社は本日、同社の製品とソフトウェアで確認された 65 件の脆弱性について情報を公開しました。そのうち「緊急」と評価された脆弱性はわずか 5 件であり、Microsoft 社の通常のセキュリティ更新プログラムと比べて非常に少なくなっています。
ただし、今月公開されパッチが適用された脆弱性のうち、2 件についてはすでに実際の悪用が確認されています。
Microsoft 社によると、今月のセキュリティ更新プログラムに含まれる脆弱性のうち、56 件が「重要」、2 件が「警告」と評価されています。Microsoft Exchange Server のリモートコード実行の脆弱性である CVE-2023-36756 は、8 月のセキュリティ更新プログラムに含まれるはずでしたが、誤って除外されていました。ユーザーは、2023 年 8 月の Exchange に関するセキュリティ更新プログラムがすでにダウンロードされ問題が修復されていることを確認する必要があります。
攻撃者がすでに実際に悪用している脆弱性の 1 件が CVE-2023-36802 です。これは、SharePoint と Office 365 を統合した企業向けビデオ共有プラットフォームである Microsoft Streaming Service の権限昇格の脆弱性です。この脆弱性のエクスプロイトに成功した攻撃者は、SYSTEM 権限を得ることができます。
このほか、CVE-2023-36761 もすでに実際に悪用されており、コンセプト実証コードが公開されています。ただし、攻撃者が実際にどうやって Microsoft Word のこの脆弱性をエクスプロイトしたのかは明らかになっていません。Microsoft 社によると、プレビューウィンドウも攻撃ベクトルである可能性があるとのことです。エクスプロイトが成功した場合、攻撃者によって NTLM ハッシュが閲覧されるおそれがあります。
月例セキュリティ更新プログラムに含まれていたもう 1 件の Word の脆弱性が CVE-2023-36762 です。これにより、任意のコードが実行される危険性があります。攻撃者がユーザーをだまして細工された Word ドキュメントを開かせることにより、この脆弱性をエクスプロイトする可能性があります。この手口はよく使われており、電子メールの添付ファイルとして細工されたドキュメントを送り付け、ユーザーをだまして開かせようとします。
Microsoft Visual Studio にも 4 件のリモートコード実行の脆弱性(CVE-2023-36794、CVE-2023-36796、CVE-2023-36792、CVE-2023-36793)があります。細工され武器として使用されるファイルをユーザーが開くことで引き起こされる可能性のある脆弱性です。この手の攻撃には、特別な注意を払う必要があります。Google の脅威分析グループの報告
によると、有名な APT グループである Lazarus Group が、この手口を用いてソーシャルメディア上でセキュリティの開発者と研究者を標的にしているとのことです。
最後に、CVE-2023-36745、CVE-2023-36756、CVE-2023-36744 も注意すべき脆弱性です。Microsoft Exchange Server のリモートコード実行の脆弱性であり、さまざまな攻撃の一環として攻撃者が標的とすることが知られています。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、57193、62385 ~ 62388、62394 ~ 62396、62401、300687 ~ 300688 です。
本稿は 2023 年 09 月 12 日に Talos Group
Authors