7 月以降、最大規模となった今月の Microsoft 社のセキュリティ更新プログラムは、同社のハードウェアおよびソフトウェア製品において、実際にエクスプロイトが確認されている脆弱性が 2 件、重大な脆弱性が 3 件含まれています。
Microsoft 社の 10 月の月例セキュリティ更新プログラムは、177 件の CVE に対する修正が含まれており、142 件の脆弱性が対象となった 7 月の更新以来、1 か月で最多の件数となっています。
Microsoft 社が実際にエクスプロイトが発生したと報告している 2 件の脆弱性のシビラティ(重大度)は、どちらも「警告」と評価されています。
CVE-2024-43572 は、Microsoft 管理コンソールのリモートコード実行の脆弱性で、攻撃者が標的のマシン上で任意のコードを実行する可能性があります。Microsoft 社のセキュリティ更新プログラムでは、この脆弱性を悪用しようとする攻撃者からユーザーを保護するために、信頼されていない Microsoft Saved Console(MSC)ファイルが開かれることがないようにします。
セキュリティ更新プログラムによって、信頼されていない Microsoft Saved Console(MSC)ファイルが開かれることを防ぎ、この脆弱性に関連するリスクからお客様を保護します。
今週公開されたセキュリティ更新プログラムで実際にエクスプロイトが確認されているもののうち、もう 1 件の脆弱性は CVE-2024-43573 で、Windows MSHTML プラットフォームのスプーフィングの脆弱性です。プラットフォームのスプーフィングの脆弱性は通常、攻撃者が信頼できる送信元を装うことで、環境に不正アクセスできます。
Microsoft 社によると、Winlogon の権限昇格の脆弱性である CVE-2024-43583 も公開されていますが、まだ実際にエクスプロイトは確認されていないということです。この脆弱性では、攻撃者にシステムレベルの権限を取得される可能性があります。Microsoft 社ではパッチを適用するだけでなく、サインインのプロセス中に攻撃者がサードパーティ製の入力方式エディタ(IME)を悪用するのを防ぐため、同社のファーストパーティ製 IME をデバイス上で有効にすることも推奨しています。
このほかにも、10 月のセキュリティ更新プログラムには、リモートコード実行を引き起こす可能性のある重大な脆弱性が 3 件あります。
CVE-2024-43468 は、その中で最も深刻な脆弱性であり、CVSS シビラティ(重大度)スコアは 10 点中 9.8 点です。攻撃者は Microsoft Configuration Manager に存在するこの脆弱性を悪用し、標的のサーバまたは基礎となるデーターベース上でコマンドを実行する可能性があります。
それ以外にも、リモートコード実行の脆弱性である CVE-2024-43488 は、Arduino(シングルボード マイクロコントローラやマイクロコントローラキットを構築、管理するためのオープンソース プラットフォーム)向けの Visual Studio Code の拡張機能に存在します。認証プロトコルが欠落していることで、攻撃者がネットワーク上でリモートコードを実行する可能性があります。
Microsoft 社によると、この脆弱性への対応はすでに実施されており、ユーザーが追加の措置を講じる必要はないと述べています。この拡張機能も廃止され、インターネットからダウンロードできなくなっています。
最後に、Windows リモート デスクトップ プロトコル(RPC)サーバーに存在する CVE-2024-43582 は、攻撃者が RPC サービスと同等の権限でサーバー側でコードを実行する可能性があります。攻撃者は、RPC ホストに不正なパケットを送信することで、この脆弱性をエクスプロイトするおそれがあります。ただし、エクスプロイトするには攻撃者がまず競合状態に勝つ必要があります。
このほか「重要」と評価されているものの、Microsoft 社が悪用される「可能性が高い」としている脆弱性もいくつか挙げておきます。
- CVE-2024-43502:Windows カーネルの特権昇格の脆弱性
- CVE-2024-43509、CVE-2024-43556: Windows Graphics コンポーネントの特権昇格の脆弱性
- CVE-2024-43560:Windows ストレージポートの特権昇格の脆弱性
- CVE-2024-43581、CVE-2024-43615:Windows 向け Microsoft OpenSSH のリモートコード実行の脆弱性
- CVE-2024-43609:Microsoft Office のスプーフィングの脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、64083 ~ 64086、64089、64090、64111、64112 です。Snort 3 ルール 301034 ~ 301036、301041 もあります。
本稿は 2024 年 10 月 08 日にTalos Group のブログに投稿された「Largest Patch Tuesday since July includes two exploited in the wild, three critical vulnerabilities」の抄訳です。