2024 年 12 月のセキュリティ更新プログラムでは、72 件の脆弱性の情報が公開されました。そのうち 4 件について、Microsoft 社は「緊急」と評価しています。その他の脆弱性は「重要」と評価されました。
Microsoft 社は、これら 4 件の「緊急」の脆弱性が「悪用される可能性は低い」としています。
CVE-2024-49112 は、その中で最も深刻な脆弱性であり、CVSS シビラティ(重大度)スコアは 10 点中 9.8 点です。Windows Lightweight Directory Access Protocol(LDAP)の呼び出しでこの脆弱性をエクスプロイトすると、LDAP サービスのコンテキスト内で任意のコードを実行できます。さらに、CVE-2024-49124 と CVE-2024-49127 は、認証されていない攻撃者が脆弱性のある LDAP サーバーに細工された要求を送信できるというものであり、攻撃者が「競合状態」に勝つと、コードが実行される可能性があります。これらの脆弱性は「緊急」とされており CVSS が高くなっていますが、Microsoft 社は、「悪用される可能性は低い」と判断しています。
CVE-2024-49126 は、Windows ローカルセキュリティ機関サブシステムサービス(LSASS)のリモートコード実行の脆弱性です。特権がなくても、攻撃者はサーバーアカウントを標的にし、ネットワーク呼び出しを介してサーバーのアカウントで悪意のあるコードを実行できます。「緊急」と評価されているものの、エクスプロイトするには非常に複雑な「競合状態」に勝つ必要があり、Microsoft 社は「悪用される可能性は低い」と判断しています。
CVE-2024-49105 は、リモート デスクトップ クライアントに存在する「緊急」なリモートコード実行の脆弱性です。Microsoft 社は、この脆弱性が「悪用される可能性は低い」と評価しています。認証された攻撃者が Microsoft 管理コンソール(MMC)を使用し、リモートデスクトップ接続経由でサーバー上でリモートコード実行をトリガーすることによって、この脆弱性をエクスプロイトする可能性があります。実際のエクスプロイトが検出されたことはありません。
CVE-2024-49117 は、Windows Hyper-V のリモートコード実行の脆弱性です。「緊急」とされていますが、Microsoft 社は「悪用される可能性は低い」と判断しています。この脆弱性をエクスプロイトするには、認証された攻撃者がゲスト VM 上でローカルに、細工されたファイル操作要求を VM 上のハードウェアリソースに送信する必要があります。それによって、ホストサーバー上でリモートコード実行がトリガーされます。Microsoft 社は、この脆弱性の実際のエクスプロイトを検出したことはありません。
CVE-2024-49106、CVE-2024-49108、CVE-2024-49115、CVE-2024-49119 および CVE-2024-49120、CVE-2024-49123、CVE-2024-49132、CVE-2024-49116、CVE-2024-49128 は、Windows リモート デスクトップ ゲートウェイ(RD ゲートウェイ)サービスのリモートコード実行の脆弱性です。攻撃者がリモート デスクトップ ゲートウェイ ロールを持つシステムに接続し、「競合状態」を引き起こして「解放済みメモリ使用」の状況を生み出し、その後任意のコードを実行することによって、この脆弱性をエクスプロイトする可能性があります。「緊急」とされていますが、Microsoft 社は、「悪用される可能性は低い」と判断しています。また、攻撃条件の複雑さは「高」としています。Microsoft 社は、これらの脆弱性の実際のエクスプロイトを検出したことはありません。
CVE-2024-49122 と CVE-2024-49118 は、Microsoft Message Queuing(MSMQ)のリモートコード実行の脆弱性です。MSMQ は、Microsoft Windows システムのキューマネージャです。攻撃者は、細工された悪意のある MSMQ パケットを MSMQ サーバーに送信して、サーバー側で悪用可能な「競合状態」に勝つ必要があるため、攻撃条件の複雑さは「高」になります。「緊急」とされていますが、「悪用される可能性は低い」と判断されており、実際に検出されたことはありません。
CVE-2024-49138 は、Windows 共通ログファイルシステムのドライバにおける特権昇格の脆弱性です。CVSS スコアは比較的低く 10 点中 7.8 点ですが、実際の悪用が確認されています。
このほか「重要」と評価されているものの、Microsoft 社が「悪用される可能性が高い」としている脆弱性もいくつか挙げておきます。
- CVE-2024-49070:Microsoft SharePoint のリモートコード実行の脆弱性
- CVE-2024-49093:Windows Resilient File System(ReFS)の特権昇格の脆弱性
- CVE-2024-49088 および CVE-2024-49090:Windows 共通ログファイルシステムのドライバにおける特権昇格の脆弱性
- CVE-2024-49114:Windows Cloud Files Mini Filter ドライバの特権昇格の脆弱性
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org
で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、64308、64309、64310、64311、64313、64314、63874、63875、64312、64306、64307 です。Snort 3 ルール 301085、301086、301087、300987、64312、301084 もあります。
本稿は 2024 年 12 月 10 日にTalos Group
Authors