Cisco Japan Blog

Microsoft セキュリティ更新プログラム(月例):2023 年 3 月に公開された脆弱性と、対応する Snort ルール

1 min read



Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェア製品とソフトウェアの製品で確認された 83 件の脆弱性を公開しました。そのうち 2 件は実際に頻繁に悪用されています。また、月例のセキュリティ更新プログラムでゼロデイ脆弱性の対応がなされる傾向がこの数か月間にわたって続いています。

Microsoft 社によると、3 月のセキュリティ更新プログラムで対応した脆弱性のうち 2 件が実際に悪用されており、そのうち 1 件は「緊急」の問題であるとのことです。

全体で見ると、今月公開された問題のうち 8 件が「緊急」に分類され、それ以外は 1 件を除いて「重要」に分類されています。

すでに悪用が確認されている「警告」の脆弱性が CVE-2023-24880 であり、複数の Microsoft 製品に含まれている Windows SmartScreen(クラウドベースのフィッシングおよびマルウェア対策機能)でセキュリティ機能がバイパスされるというものです。攻撃者はこの脆弱性を悪用して、Mark of the Web(MOTW)による防御を回避する悪意のあるファイルを作成する可能性があります。その場合、MOTW タグを利用するセキュリティ機能(Microsoft Office の保護ビューなど)の完全性と可用性が一部損なわれます。これにより、理論上は、悪意のあるファイルが検出を逃れてシステムに侵入できるようになります。

今月対応されたもう 1 つのゼロデイ脆弱性は、Microsoft Outlook における特権昇格の脆弱性である CVE-2023-23397 です。悪用されると、標的のデバイスが強制的にリモート URL に接続させられ、Windows アカウントの Net-NTLMv2 ハッシュを攻撃者に送信してしまう恐れがあります。

攻撃者はこの脆弱性を悪用するために、ユーザーにメールを開かせたりプレビューさせたりする必要すらありません。メールが標的のメールサーバーによって取得されるとすぐに悪用が開始されます。

上記以外に Microsoft 社が今回対応している「緊急」の脆弱性のうち、3 件は CVSS シビラティ(重大度)スコアが 10 点中 9.8 点の CVE-2023-21708CVE-2023-23392CVE-2023-23415 です。

CVE-2023-21708 は、Microsoft リモートプロシージャコール(RPC)でリモートコードが実行される脆弱性です。この脆弱性を悪用するために、非認証ユーザー(攻撃者)が、細工した RPC 呼び出しを RPC ホストに送信する可能性があります。これにより、サーバー側で RPC サービスと同じ権限によってリモートコードが実行される恐れがあります。

攻撃者がリモートホストの TCP ポート 135 にアクセスしなければならないことから、Microsoft 社はこの脆弱性が「悪用される可能性は低い」と考えており、ネットワーク境界の外からは特に悪用されにくいとしています。ただし、すでに内部ネットワークに足場を築いている攻撃者は、この脆弱性を利用して同じドメイン内の他のマシンを侵害する可能性があります(TCP ポート 135 が標的によってブロックされていない場合)。

Windows 11 と Windows Server 2022 の HTTP プロトコルスタックにも、リモートコード実行の別の脆弱性が存在します。CVE-2023-23392 の悪用を目論む攻撃者は、HTTP プロトコルスタックを利用してパケットを処理する標的のサーバーに対して、細工したパケットを送信する可能性があります。脆弱なサーバーと見なされる条件は、そのサーバーですでに HTTP/3 が有効化されていて、バッファ付き I/O が使用されていることです。サービスの HTTP/3 サポートは Windows Server 2022 の新機能です。同コンポーネントにおける別の特権昇格の脆弱性(CVE-2023-23410)が悪用された場合は、攻撃者が権限を SYSTEM に昇格できるようになる恐れがあります。

Microsoft 社によると、CVSS スコアが 9.8 点である 3 つの脆弱性のうち、「悪用される可能性が高い」のは CVE-2023-23415 のみです。インターネット制御メッセージプロトコル(ICMP)に存在するこの脆弱性を攻撃者が悪用した場合、SYSTEM レベルの権限でリモートコードを実行できるようになる恐れがあります。

フラグメント化された ICMP エラーメッセージを攻撃者が遠隔地の標的に送信し、フラグメントバッファの上限を超えて読み取りを行わせることが考えられます。この結果、読み取りでページ境界をまたいだ場合に BSOD が発生するか、攻撃者がリモートコードを実行できるようになる可能性があります。

「緊急」と評価された他の脆弱性は次のとおりです。

  • CVE-2023-23404:Windows Point-to-Point トンネリングプロトコルのリモートコード実行の脆弱性
  • CVE-2023-23411:Windows Hyper-V のサービス拒否の脆弱性
  • CVE-2023-23416:Windows Cryptographic Services のリモートコード実行の脆弱性

Microsoft 社が今月公開した脆弱性の一覧については、更新ページpopup_iconをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、61464 ~ 61467 です。Snort 3 では、300460 と 300461 の各 SID でもこれらの脆弱性から保護できます。

 

本稿は 2023 年 03 月 14 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for March 2023 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

コメントを書く