Microsoft 社の発表によると、12 月に発表された近年で最少のセキュリティ更新プログラムに続き、今月もゼロデイ脆弱性はなく「緊急」の問題は 2 件だけでした。
2023 年、同社が発表した毎月のセキュリティ更新プログラムには、活発にエクスプロイトされている脆弱性や、すでにエクスプロイトが公開され、流通している脆弱性が多くありました。
2024 年がスタートし、同社は製品スイートおよびサービス全体で 48 件の脆弱性の情報を公開しました。そのうち 46 件は、シビラティ(重大度)が「重要」と見なされています。
本日、パッチが適用された緊急の脆弱性の 1 つは、Windows Kerberos 認証プロトコルのセキュリティバイパスの脆弱性である CVE-2024-20674 です。攻撃者は中間者攻撃を実行してこの脆弱性を悪用し、Kerberos 認証サーバーになりすますため、認証プロセスがバイパスされる可能性があります。
最も一般的なオペレーティングシステムのいくつかには Keberos が存在するため、Microsoft 社はこの脆弱性がエクスプロイトされる可能性が「より高い」と考えています。
もう 1 つの緊急の問題は CVE-2024-20700 で、リモートでコードが実行される可能性があります。Windows Hyper-V のこの脆弱性は、攻撃者が競合状態に勝った場合にエクスプロイトされる可能性があります。またエクスプロイトする前に、まず制限されたネットワークへのアクセスを取得する必要があります。
他にも特筆すべきリモートコード実行の脆弱性が 2 件あり、Microsoft 社はどちらも「重要」と見なしています。CVE-2024-21307 は Windows Remote Desktop Client に存在し、CVE-2024-21318 は SharePoint Server に影響を及ぼす脆弱性です。
CVE-2024-21307 では、認証されたユーザーが悪意のあるリモート デスクトップ サーバーに接続した場合、脆弱性が引き起こされる可能性があります。リモート デスクトップ ホスト サーバーは細工されたサーバーの RDP 事前接続を送信し、リモートクライアントのドライブリダイレクト仮想チャネルを標的とします。これにより、被害者のマシンでリモートコードが実行される可能性があります。
CVE-2024-21318 は、特定のコードを作成して SharePoint Server に挿入するだけで済むため、攻撃者は比較的簡単に一時的にエクスプロイトすることができます。
Windows カーネルには特権昇格の脆弱性 CVE-2024-20698 も含まれており、SYSTEM 特権が不正に取得される可能性があります。この脆弱性がエクスプロイトされる方法については、ほとんど情報がありません。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、62847 ~ 62850 および 62854 ~ 62861 です。Snort 3 ルール 300797 ~ 300802 もあります。
本稿は 2024 年 01 月 09 日に Talos Group のブログに投稿された「Microsoft starts off new year with relatively light Patch Tuesday, no zero-days」の抄訳です。