Microsoft 社は定例のセキュリティ更新プログラムで、現在活発にエクスプロイトが仕掛けられている同社製品の 6 件のセキュリティ脆弱性を公開しました。
8 月の Microsoft 月例セキュリティ更新プログラムでは脆弱性が 87 件あり、そのうち 7 件は「緊急」と評価されています。Microsoft 社はゼロデイ脆弱性の公開に加え、すでに公開されていたセキュリティ上の問題である CVE-2024-21302
の修正も行いました。これは、攻撃者への機密情報の不正な開示を招くおそれのある Microsoft Office の脆弱性です。同社は先週、実際にこの脆弱性がエクスプロイトされる可能性について警告していました。具体的には、ソフトウェアのパッチが古いものに戻ってしまい、過去の脆弱性が再度エクスプロイトの対象になる可能性があるというものです。
Cisco Talos の脆弱性調査チームは、Microsoft 社が今週パッチを当てた脆弱性のうち、CVE-2024-38184、CVE-2024-38185、CVE-2024-38186、CVE-2024-38187 の 4 件を発見しました。これらは、攻撃者によるシステムレベルの権限取得につながりかねない Microsoft Windows カーネルモードドライバの特権昇格の脆弱性です。
8 月のセキュリティ更新プログラムで最も深刻な問題は、Windows TCP/IP のリモートコード実行の脆弱性である CVE-2024-38063 です。認証されていない攻撃者が、標的とする Windows マシンに細工された IPv6 パケットを繰り返し送信してこの脆弱性をエクスプロイトし、リモートでコードを実行できるようになる可能性があります。IPv6 が無効にされたシステムは、この脆弱性の影響を受けません。
CVE-2024-38063 のシビラティ(重大度)スコアは 10 点中 9.8 点で、「悪用される可能性が高い」とされています。
別の 2 件のリモートコード実行の脆弱性 CVE-2024-38159 と CVE-2024-38160 は Windows Network Virtualization に存在し、他にも、CVE-2024-38140 が Windows Reliable Multicast Transport Driver に存在します。3 件ともすべて「緊急」と評価されています。
実際にすでにエクスプロイトされている脆弱性のうち 2 件が、Microsoft Scripting Engine のメモリ破損の脆弱性である CVE-2024-38178 と、Windows Ancillary Function Driver の特権昇格の脆弱性である CVE-2024-38193 です。どちらもゼロデイですが、Microsoft 社では「重要」と評価されています。
最後に、セキュアブートのセキュリティ機能における 2 件の脆弱性にも注目しておきたいと思います。CVE-2024-38090 と CVE-2024-28918 で、それぞれ「緊急」と「重要」と評価されています。
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63858 ~ 63861 と 63864 ~ 63878 です。Snort 3 ルール 300980 ~ 300988 もあります。
本稿は 2024 年 08 月 13 日にTalos Group
Authors