Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / Microsoft 社が 79 件の脆弱性を公開、ゼロデイ脆弱性は 4 件で、うち 1 件はシビラティ(重大度)スコアが 9.8 点

2024年9月17日 Leave a Comment
脅威リサーチ

Microsoft 社が 79 件の脆弱性を公開、ゼロデイ脆弱性は 4 件で、うち 1 件はシビラティ(重大度)スコアが 9.8 点

1 min read



Microsoft 社は今週、定例のセキュリティ更新プログラムで、現在実際にエクスプロイトされている脆弱性を 4 件公開しました。2024 年に入ってからは、毎月のようにゼロデイ脆弱性が公開されています。

これらのゼロデイ脆弱性のうち、CVE-2024-38226popup_icon は Microsoft Publisher ソフトウェア、CVE-2024-38014popup_icon は Windows インストーラに存在します。先月のセキュリティ更新プログラムでは、Microsoft 社は実際にエクスプロイトされている脆弱性を 6 件公開しています。

9 月の Microsoft 月例セキュリティ更新プログラムでは全部で 79 件の脆弱性が修正されており、そのうち 7 件は「緊急」と評価されています。火曜日に公開されたゼロデイ脆弱性に加え、Microsoft 社は公開済みのセキュリティ問題である CVE-2024-38217popup_icon も修正しました。これは Windows Mark of the Web(MOTW)の脆弱性であり、攻撃者が通常の MOTW 検出技術をバイパスできる可能性があります。

Cisco Talos の脆弱性調査チームは、AllJoyn API の情報漏洩の脆弱性popup_iconも特定しました。この脆弱性により、攻撃者が初期化されていないメモリにアクセスできる可能性があります。CVE-2024-38257popup_icon は「悪用される可能性は低い」と評価されているものの、この脆弱性をエクスプロイトする際、ユーザーの操作やユーザー権限は必要ありません。

9 月のセキュリティ更新プログラムで修正された問題の中で最も重大なのは CVE-2024-43491popup_icon で、シビラティスコアは 10 点中 9.8 点です。CVE-2024-43491 は、Windows Update におけるリモートコード実行の問題です。「悪用される可能性が高い」と評価されていますが、Microsoft 社はこの脆弱性の性質について詳細をほとんど明らかにしていません。

SharePoint Server にもリモートコード実行の脆弱性が 4 件(CVE-2024-38018popup_iconCVE-2024-38227popup_iconCVE-2024-38228popup_iconCVE-2024-43464popup_icon)存在し、同じく「悪用される可能性が高い」と評価されています。

このうち後の 3 件の脆弱性では、認証済みの攻撃者がサイト所有者権限を取得している場合に、任意のコードを注入し、SharePoint Server のコンテキストでコードを実行できます。一方、CVE-2024-38018 をエクスプロイトするのに必要なのは、サイトメンバー権限のみです。

今週公開されたゼロデイ脆弱性の 1 つである CVE-2024-38226 は、Microsoft Publisher におけるセキュリティ機能バイパスの脆弱性です。攻撃者にエクスプロイトされると、信頼できないファイルや悪意のあるファイルをブロックする Microsoft Office のデフォルトのマクロポリシーがバイパスされるおそれがあります。攻撃者がユーザーを騙して細工された悪意のあるファイルを Microsoft Publisher で開かせた場合、この脆弱性はエクスプロイトされ、被害者のマシンでローカル攻撃が可能になります。Office ソフトウェアでは、攻撃者が悪意のあるコードを隠すことを防止するために、マクロはデフォルトでブロックされています。

現在実際にエクスプロイトされているもう 1 つの脆弱性である CVE-2024-38014 は Windows インストーラの問題です。この脆弱性により、攻撃者がシステムレベルの権限を取得できる可能性があります。この問題は、Windows 11 のバージョン 24H2(現在は特定の Microsoft Copilot+ デバイスでのみ利用可能)のほか、以前のバージョンの Windows 10 および Windows 11 に影響します。

Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63979 ~ 63984 および 63987 ~ 63994 です。また、Snort 3 ルール 301008 ~ 301013 もあります。

 

本稿は 2024 年 09 月 10 日にTalos Grouppopup_icon のブログに投稿された「Four zero-days included in group of 79 vulnerabilities Microsoft discloses, including one with 9.8 severity scorepopup_icon」の抄訳です。

 

Authors

Avatar

TALOS Japan

コメントを書く