Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / 11 月のセキュリティ更新プログラムでは、3 件の重大なリモートコード実行の脆弱性が公開

2024年11月19日 Leave a Comment
脅威リサーチ

11 月のセキュリティ更新プログラムでは、3 件の重大なリモートコード実行の脆弱性が公開

1 min read



2024 年 11 月のセキュリティ更新プログラムでは、89 件の脆弱性の情報が公開されました。そのうち 4 件について、Microsoft 社は「緊急」と評価しています。その他の脆弱性は「重要」と評価されました。

Microsoft 社は、これら 4 件の「緊急」の脆弱性が「悪用される可能性は低い」としています。

CVE-2024-43639popup_icon は、Windows Kerberos に存在するリモートコード実行の脆弱性です。脆弱性のある暗号化プロトコルを活用するよう細工されたアプリケーションを作成することでエクスプロイトできます。「緊急」とされていますが、「悪用される可能性は低い」と判断されており、実際に検出されたことはありません。

CVE-2024-43625popup_icon は、Hyper-V のネットワーキング コンポーネントである VMSwitch ドライバに存在する特権昇格の脆弱性です。特定のネットワークパケット一式をドライバに送信し、Hyper-V ホストの「解放済みメモリ使用」状態を引き起こすことでエクスプロイトできます。これにより、攻撃者は昇格された権限を使用して任意のコードを実行できるようになります。「緊急」とされていますが、「悪用される可能性は低い」と判断されており、攻撃条件の複雑さは「高」と評価されています。Microsoft 社は、この脆弱性の実際のエクスプロイトを検出したことはありません。

CVE-2024-43602popup_icon は、Azure CycleCloud に存在するリモートコード実行の脆弱性です。「緊急」とされていますが、Microsoft 社は、「悪用される可能性は低い」と判断しています。攻撃者は、基本のユーザー権限を入手すれば、Azure CycleCloud クラスタに細工したパケットを送信してこの脆弱性をエクスプロイトし、ルート権限を入手できます。Microsoft 社は、この脆弱性の実際のエクスプロイトを検出したことはありません。

CVE-2024-43498popup_icon は、.NET と Visual Studio に存在する「緊急」のリモートコード実行の脆弱性です。Microsoft 社は、この脆弱性が「悪用される可能性は低い」と評価しています。細工されたパケットを送信するか、細工されたファイルを脆弱性のあるアプリケーションに読み込ませることで、脆弱な .NET の Web アプリケーションをリモートでエクスプロイトできます。Microsoft 社は、この脆弱性の実際のエクスプロイトを検出したことはありません。

今回のリリースに含まれる脆弱性には、「悪用される可能性が高い」とされた「重要」評価の脆弱性が複数存在します。該当する更新プログラムを以下に列挙します。

  • CVE-2024-49033popup_icon:Microsoft Word のセキュリティ機能のバイパスの脆弱性
  • CVE-2024-43623popup_icon:Windows NT OS カーネルの特権昇格の脆弱性
  • CVE-2024-43629popup_icon:Windows DWM Core ライブラリの特権昇格の脆弱性
  • CVE-2024-43630popup_icon:Windows カーネルの特権昇格の脆弱性
  • CVE-2024-43636popup_icon:Win32k の特権昇格の脆弱性
  • CVE-2024-49019popup_icon:Active Directory 証明書サービスの特権昇格の脆弱性
  • CVE-2024-43642popup_icon:Windows SMB のサービス拒否の脆弱性

以上に加え、Talos としては、Microsoft 社によりエクスプロイトが検出されたことのある以下の「重要」の脆弱性も取り上げておきたいと思います。

  • CVE-2024-43451popup_icon:NTLM ハッシュ開示スプーフィングの脆弱性
  • CVE-2024-49039popup_icon:Windows タスクスケジューラの特権昇格の脆弱性

Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページpopup_iconをご覧ください。Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、62022、62023、64218 ~ 64224、64229、64232、64233 です。Snort 3 ルール 301064、300612、301065、301066、301073 もあります。

 

本稿は 2024 年 11 月 12 日にTalos Grouppopup_icon のブログに投稿された「November Patch Tuesday release contains three critical remote code execution vulnerabilitiespopup_icon」の抄訳です。

 

Authors

Avatar

TALOS Japan

コメントを書く