脅威リサーチ

Microsoft 社、セキュリティ更新プログラムで 75 件の脆弱性を公開、2024 年初のゼロデイ脆弱性も

TALOS Japan
2024年2月20日

Microsoft 社は、セキュリティ更新プログラムの件数が最近特に少なかった 1 月に続き、過去の公開件数にはまだ及ばないものの今月は多くの脆弱性を公開しました。

Microsoft 社の 2 月のセキュリティ更新プログラムでは、全部で 75 件の脆弱性が公開されました。そのうちシビラティ（重大度）が「緊急」の脆弱性は 3 件となっています。「重要」の脆弱性は 69 件あり、「警告」の脆弱性は 3 件です。

「警告」と評価されているものの、活発なエクスプロイトが実際に確認されている脆弱性の 1 つに、CVE-2024-21351 があります。Windows SmartScreen のセキュリティ機能バイパスの脆弱性です。「SmartScreen」は、インターネットからダウンロードされる悪意のある Web サイトやファイルからユーザーを保護します。この脆弱性をエクスプロイトすると、本来の SmartScreen の保護機能がなくなり、ユーザーをだましてインターネットからファイルをダウンロードして実行させることができます。先月のセキュリティ更新プログラムでは、ゼロデイ脆弱性は公開されていません。

3 件ある「緊急」の脆弱性のうち、CVE-2024-20684 をエクスプロイトすると、攻撃者が Hyper-V のゲストを制御してホストへのサービス妨害攻撃を引き起こせるようになります。その結果、同ホストのその他すべてのゲストに対して攻撃を展開できます。

他にも CVE-2024-21357 は、「緊急」のリモートコード実行の脆弱性であり、Windows Pragmatic General Multicast というマルチキャストネットワークプロトコルに存在します。この脆弱性をエクスプロイトすると、理論的には、同じネットワークにいる攻撃者がそのネットワーク上の他のシステムでコードを実行できるようになります。Microsoft 社では、この脆弱性のエクスプロイトは複雑性が高いと評価していますが、「エクスプロイトの可能性が高い」とも評価しています。

3 つめの「緊急」の脆弱性である CVE-2024-21380 は、Microsoft Dynamics Business Central/NAV の情報漏洩の脆弱性です。Microsoft 社によると、この脆弱性をエクスプロイトするにはユーザーとやり取りをする必要があるため、攻撃者はまず競合状態を制する必要があります。そのため複雑性が高く、「エクスプロイトの可能性は低い」と考えられています。

他にも Cisco Talos が特筆しておきたいのは CVE-2024-21378 です。これは Microsoft Outlook のリモートコード実行の脆弱性です。ただしアドバイザリによると、この脆弱性をエクスプロイトするには攻撃者が標的のマシンと同じネットワーク上にいて、攻撃対象のユーザーをだまして細工されたファイルやメールを開かせる必要があります。

CVE-2024-21379 もリモートコード実行の脆弱性です。この脆弱性は Microsoft Word に存在します。この脆弱性をエクスプロイトするには、攻撃者は攻撃対象のユーザーに、開かれると攻撃対象のシステムでリモートコード実行が可能になるよう細工された Word 文書を送る必要があります。

今回のアドバイザリにはリモートコード実行の脆弱性が他にも 26 件挙げられていますが、「エクスプロイトの可能性は低い」と評価されています。Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63000 ～ 63001、63004、63005、62992 ～ 62994、62998、62999 です。Snort 3 ルール 300822 ～ 300826 もあります。