Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社の製品およびソフトウェアで確認された 49 件の脆弱性についての情報を公開しました。
このうち「緊急」と評価された脆弱性は 1 件のみです。今月公開されたこの他のセキュリティ上の問題については「重要」と評価されています。
唯一「緊急」と評価されたセキュリティ上の問題は CVE-2024-30080 で、Microsoft メッセージキュー(MSMQ)メッセージの HTTP 処理機能における解放済みメモリ使用(UAF)の問題に起因するリモートコード実行の脆弱性です。
攻撃者は細工された悪意のある MSMQ パケットを MSMQ サーバーに送信できるため、サーバー側でのリモートコード実行が可能になります。Microsoft 社はこの脆弱性が「悪用される可能性が高い」と考えています。
Microsoft Outlook にもリモートコード実行の脆弱性である CVE-2024-30103 が存在します。この脆弱性のエクスプロイトに成功すると、攻撃者は Outlook レジストリのブロックリストを回避できるようになるため、悪意のある DLL(ダイナミック リンク ライブラリ)ファイルの作成が可能になります。ただし、攻撃者は Microsoft Exchange の有効なユーザーログイン情報を使用して認証を受ける必要があります。Microsoft 社は、Outlook アプリケーションのプレビューウィンドウが攻撃ベクトルであることにも触れています。
同社はまた、Azure Monitor エージェントに存在する重大な特権昇格の脆弱性(CVE-2024-35254)も公開しました。読み取りアクセス権限を持つ認証されていない攻撃者が、Azure Monitor エージェントがインストールされているホストで任意のファイルとフォルダを削除することによって、この脆弱性をエクスプロイトできます。この脆弱性では秘密情報は公開されませんが、攻撃者がデータを削除してサービス拒否を引き起こす可能性があります。
Microsoft OLE(Object Linking and Embedding)に存在する重大なリモートコード実行の脆弱性である CVE-2024-30077 もまた、攻撃者が認証されているユーザーをだまし、接続ドライバ(OLE DB または OLEDB)を介して悪意のある SQL サーバーデータベースへの接続を試行させた場合にトリガーされます。これにより、データベースが悪意のあるデータを返し、クライアント上で任意のコードが実行される可能性があります。
Windows の Wi-Fi ドライバにも、重大なリモートコード実行の脆弱性である CVE-2024-30078 が存在します。攻撃者は、Wi-Fi ネットワークアダプタを使用する隣接関係にあるシステムに対し、悪意のあるネットワーキングパケットを送信することによってこの脆弱性をエクスプロイトし、リモートコード実行を可能にします。ただし、攻撃者がこの脆弱性をエクスプロイトするには、無線伝送の送受信を行うために攻撃対象のシステムの近くにいる必要があります。
CVE-2024-30063 と CVE-2024-30064 は、Windows 分散ファイルシステム(DFS)に存在する重大な特権昇格の脆弱性です。これらの脆弱性のエクスプロイトに成功した攻撃者は、脆弱な DFS クライアントを介して昇格した権限を得ることで、カーネルでローカルに任意のコードを実行できるようになります。ただし、攻撃者がこれらの脆弱性をエクスプロイトするには、細工されたアプリケーションを実行することによってローカルで認証される必要があります。
他にも、重大な特権昇格の脆弱性を数件挙げておきます。Microsoft 社によると、いずれも「悪用される可能性が高い」とのことです。
CVE-2024-30068 は、攻撃者によるシステムレベルの権限取得につながる Windows カーネルの特権昇格の脆弱性です。権限の低い AppContainer からこの脆弱性をエクスプロイトすることによって、攻撃者は権限を昇格させ、AppContainer 実行環境よりも高い完全性でコードを実行したりリソースにアクセスしたりできます。ただし、攻撃者はまずシステムにログインし、次に、脆弱性をエクスプロイトして対象システムを制御できるように細工されたアプリケーションを実行する必要があります。
Win32K カーネルドライバには、境界外メモリアクセスの問題に起因する重大な特権昇格の脆弱性が存在します。CVE-2024-30082、CVE-2024-30087、CVE-2024-30091 の 3 件です。CVE-2024-30082 をエクスプロイトする攻撃者はシステム権限を取得する可能性があります。CVE-2024-30087 と CVE-2024-30091 をエクスプロイトすると、影響を受けるアプリケーションを実行しているユーザーの権限を得ることができます。Microsoft 社はこれらの脆弱性が「悪用される可能性が高い」と考えています。
CVE-2024-30088 と CVE-2024-30099 の 2 件は、NT カーネルドライバに存在する「悪用される可能性が高い」重大な特権昇格の脆弱性です。これらの脆弱性のエクスプロイトに成功すると、攻撃者はローカルユーザー権限とシステム権限を得ることができます。
Microsoft Stream サービスのカーネルドライバである Mskssrv にも特権昇格の脆弱性があります。CVE-2024-30089 と CVE-2024-30090 の 2 件です。これらの脆弱性のエクスプロイトに成功すると、システム権限を得ることができます。
CVE-2024-30084 と CVE-2024-35250 の 2 件は、Windows カーネルモードドライバに存在する特権昇格の脆弱性で、悪用される可能性が高いとされています。これらの脆弱性のエクスプロイトに成功すると、システム権限を得ることができます。ただし、そのためにはまず競合状態に勝つ必要があります。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63581 ~ 63591、63596、63597 です。Snort 3 プリプロセッサルール 300937 ~ 300940 もあります。
本稿は 2024 年 06 月 11 日にTalos Group のブログに投稿された「Only one critical issue disclosed as part of Microsoft Patch Tuesday」の抄訳です。