火曜日に公開された Microsoft 社の月例セキュリティ更新プログラムに含まれていた「緊急」の脆弱性は 3 件のみでした。先月と比べて非常に少ない件数となっています。
Microsoft 社が今月パッチを適用した脆弱性は全部で 57 件です。そのうち 54 件が「重要」とみなされています。同社が 1 か月間に公開する脆弱性の件数としては、5 月以降で最も少なくなっています。
ただし、11 月のセキュリティ更新プログラムには 3 件のゼロデイ脆弱性と、すでに一般公開されている別の 3 件の脆弱性が含まれています。
CVE-2023-36033 は、攻撃者による SYSTEM レベルの権限取得につながる Windows DWM コアライブラリの特権昇格の脆弱性です。Microsoft 社によると、この脆弱性はすでに悪用されており、使用可能なコンセプト実証コードがあります。
別の特権昇格のゼロデイ脆弱性である CVE-2023-36036 は Windows クラウドファイルのミニフィルタドライバに存在します。この脆弱性を悪用すれば SYSTEM 権限を取得できます。
すでに悪用されているもう 1 件の脆弱性が CVE-2023-36025 で、攻撃者が Windows Defender SmartScreen のチェックやその他の関連プロンプトをバイパスできるようになります。攻撃者がこの脆弱性を悪用する手口は、狙ったユーザーを騙して細工されたインターネットショートカットやハイパーリンクをクリックさせ、攻撃者が管理する Web サイトに誘導するというものです。
CVE-2023-36397 は火曜日に公開された脆弱性の中でシビラティ(重大度)が高いものの 1 つであり、CVSS スコアは 10 点中 9.8 点です。ただし、Microsoft 社はこの脆弱性について「悪用される可能性は低い」としています。Windows Pragmatic General Multicast(PGM)のこの脆弱性を攻撃者が悪用する手口は、ネットワーク経由で細工されたファイルを送信し、攻撃対象のマシンで悪意のあるリモートコードを実行できるようにするというものです。
Microsoft 社が本日パッチを適用した脆弱性の 1 件である CVE-2023-36041(TALOS-2023-1835)は、Cisco Talos 脆弱性研究チームの Marcin “Icewall” Noga によって発見されました。
この解放済みメモリ使用の脆弱性は、Microsoft Office Professional Plus 2019 Excel の ElementType 属性解析に存在します。この脆弱性を悪用すると、攻撃対象のマシンでリモートコードを実行できるようになります。攻撃者がこの脆弱性を悪用するには、狙ったユーザーを騙して、細工された Excel スプレッドシートを開かせる必要があります。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、62627、62628、62630〜62633、62641〜62644 です。Snort 3 ルール 300751〜300753、300757、300758 もあります。
本稿は 2023 年 11 月 14 日に Talos Group のブログに投稿された「Microsoft discloses only three critical vulnerabilities in November’s Patch Tuesday update, three other zero-days」の抄訳です。