今月のセキュリティ更新プログラムは、ここ数年では最大規模になりました。Microsoft 社は今週、同社のソフトウェアと製品で見つかった 150 件の脆弱性を公開しました。そのうち 60 件がリモートコード実行につながる可能性があります。
Microsoft 社の 4 月の月例セキュリティアップデートは、2023 年の初め以降では最多となりましたが、公開された問題のうち「緊急」とされたのは 3 件のみで、いずれも Microsoft Defender for IoT のリモートコード実行の脆弱性でした。
残りのセキュリティ問題の深刻度はほとんどが「重要」で、2 件だけ「警告」でした。
3 件の緊急の脆弱性は、CVE-2024-21322、CVE-2024-21323 および CVE-2024-29053 で、いずれも Microsoft Defender for IoT のリモートコード実行の脆弱性です。これらの問題のエクスプロイト手法に関する情報はほとんど提供されていませんが、Microsoft 社は「悪用される可能性は低い」と評価しています。
また、Microsoft 社が実際のエクスプロイトを検出したとする脆弱性が 3 件あります。
- CVE-2024-26241:Win32k の特権の昇格の脆弱性
- CVE-2024-28903:Windows セキュアブートのセキュリティ機能のバイパスの脆弱性
- CVE-2024-28921:Windows セキュアブートのセキュリティ機能のバイパスの脆弱性
コード実行の脆弱性の半数以上は、Microsoft SQL ドライバに存在します。攻撃者がこれらの脆弱性を悪用し、認証されたユーザーをだまして攻撃者が作成した SQL サーバーに ODBC 経由で接続させることによって、悪意のあるネットワークパケットをクライアントが受信してしまう可能性があります。これにより、攻撃者はクライアント上で、リモートでコードを実行できるようになります。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63254 ~ 63257、63265 ~ 63271、63274、63275 です。Snort 3 のルールである 300873、300874、300877 ~ 300879 もあります。
本稿は 2024 年 04 月 09 日にTalos Group のブログに投稿された「April’s Patch Tuesday includes 150 vulnerabilities, 60 which could lead to remote code execution」の抄訳です。