火曜日、Microsoft 社の月例セキュリティ更新プログラムが公開されました。脆弱性は 33 件のみで過去 4 年間で最も少ない件数です。
12 月のセキュリティ更新プログラムで特に注目すべきなのは、ゼロデイ脆弱性が 1 件も含まれていない点です。今年の同社には珍しいことです。同社が定期的に公開しているアドバイザリには、今年 10 か月間で活発にエクスプロイトされた脆弱性が取り上げられています。
なお今回リリースされたセキュリティ更新プログラムには「緊急」の脆弱性が 4 件あり、そのうち 3 件はリモートでコードが実行される可能性があります。残りはすべて「重要」の脆弱性となっています。セキュリティ更新プログラムに含まれる脆弱性が 33 件というのは、2019 年 12 月以来最少です。
「緊急」の脆弱性のうち、CVE-2023-35630 と CVE-2023-35641 の 2 件は、Windows 10、11、Windows Server における一部バージョンのインターネット接続共有(ICS)サービスに存在します。攻撃者は、これらの脆弱性をエクスプロイトし、DHCPv6 の DHCPV6_MESSAGE_INFORMATION_REQUEST 入力メッセージの option -> length フィールドを変更することで、標的となるマシン上でコードを実行する可能性があります。ただし攻撃の標的となるのは、攻撃者と同じネットワークセグメントに接続されているシステムのみです。
もう 1 件の「緊急」なリモートコード実行の脆弱性である CVE-2023-35628 は、Windows の MSHTML プラットフォームに存在します。MSHTML プラットフォームは、Microsoft Edge をはじめとするさまざまな Web ブラウザや、WebBrowser コントロールを介して他の Web アプリケーションに利用されています。
攻撃者は、Microsoft Outlook クライアントが受け取って処理すると自動的に実行されるように細工された電子メールを送りつけることで、この脆弱性をエクスプロイトする可能性があります。つまり、ユーザーがプレビューウィンドウで電子メールを開く前であっても脆弱性が実行される可能性があります。もしくは電子メールに悪意のあるハイパーリンクを入れ、ユーザーにリンクをクリックさせてエクスプロイトすることも可能です。
Microsoft 社が「重要」と評価した脆弱性の中には、特定の攻撃ベクトルがあるため、Talos としては特に取り上げておきたいものもいくつかあります。
1 つは Microsoft Outlook にある情報漏洩の脆弱性(CVE-2023-35636)で、NTLM ハッシュの漏洩につながる可能性があります。通常 NTLM ハッシュは、後続の pass-the-hash 攻撃などに利用されます。この脆弱性をエクスプロイトするには、細工されたファイルをユーザーに開かせます。具体的には、誘い込み用の偽文書をフィッシングメールに添付したり、攻撃者が管理するページにファイルをホストしておき、ユーザーがブラウザで開くよう仕向けたりします。
また Windows Media にも、ユーザーが細工されたファイルを開くと実行されるリモートコード実行の脆弱性が存在します。CVE-2023-21740 は、Microsoft 社が複雑さを「注意」と評価した脆弱性です。Windows Media Player に存在する脆弱性のため、攻撃ベクトルとしては、リッピングされた映画、テレビ番組のエピソード、ホームビデオなどを有力な誘い込みに使う手口が考えられます。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、62762 ~ 62771、62786、62787 です。Snort 3 ルールの 300774、300777、300778、300780、300781、300784、300787 もリリースされています。
本稿は 2023 年 12 月 12 日に Talos Group のブログに投稿された「Microsoft releases lightest Patch Tuesday in three years, no zero-days disclosed」の抄訳です。