4 月のセキュリティ更新プログラムは脆弱性の数が比較的多かったのですが、今月は大規模な製品とサービス群での「緊急」の脆弱性は 1 件のみでした。
Microsoft 社が 5 月に発表した脆弱性には、全部で 59 の CVE が含まれており、そのほとんどのシビラリティ(重大度)は「重要」となっています。「警告」の脆弱性は 1 件のみです。
「緊急」のセキュリティ問題(CVE-2024-30044)は 1 件だけで、SharePoint サーバーにおけるリモートのコード実行の脆弱性です。サイト管理者またはそれ以上の権限を取得して認証された攻撃者が、標的の SharePoint サーバーに細工されたファイルをアップロードし、この脆弱性をエクスプロトする可能性があります。攻撃者は次に、細工された API リクエストを送信して対象ファイルのパラメータの逆シリアル化をトリガーする必要があります。これにより、SharePoint サーバーのコンテキストで、リモートでコードが実行される可能性があります。
Windows Mobile ブロードバンドドライバにもリモートのコード実行の脆弱性が複数あります。以下のとおりです。
- CVE-2024-29997
- CVE-2024-29998
- CVE-2024-29999
- CVE-2024-30000
- CVE-2024-30001
- CVE-2024-30002
- CVE-2024-30003
- CVE-2024-30004
- CVE-2024-30005
ただし、これらの脆弱性をうまくエクスプロイトするには、セキュリティ侵害を受けた USB デバイスを標的のマシンに物理的に接続する必要があります。
Microsoft 社は、Windows DWM Core ライブラリのゼロデイ脆弱性(CVE-2024-30051)も公開しています。デスクトップ ウィンドウ マネージャ(DWM)は、Windows オペレーティングシステムのサービスです。デスクトップ上の視覚効果を設定でき、ウィンドウ間の移動などを管理します。
攻撃者が CVE-2024-30051 の脆弱性をエクスプロイトし、システムレベルの権限を得る可能性があります。
この脆弱性の攻撃条件の複雑さは「低」ですが、すでに実際に悪用が確認されています。
他にも CVE-2024-30046 の脆弱性があります。セキュリティ更新プログラムの前に公開されていた脆弱性ですが、まだ悪用の事実は確認されていません。これは、Windows で一般的に使用される Web アプリケーション フレームワークである ASP.NET のサービス拒否(DoS)の脆弱性です。
Microsoft 社はこの脆弱性について「悪用される可能性は低い」と判断しています。その根拠は、攻撃者がエクスプロイトを成功させるには、標的のマシンに継続的または断続的にデータを送信してエクスプロイトの試みを繰り返さなければならず、多大な時間が必要となるからです。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63419、63420、63422 ~ 63432、63444、63445 です。Snort 3 ルール 300906 ~ 300912 もあります。
本稿は 2024 年 05 月 14 日にTalos Group のブログに投稿された「Only one critical vulnerability included in May’s Microsoft Patch Tuesday; One other zero-day in DWN Core」の抄訳です。