マイクロソフトは、現在アクティブに悪用されている2件のゼロデイ欠陥を含む73件の脆弱性に対する更新プログラムを公開し、システム管理者にとって忙しい2月となりました。
昨日の2月のパッチチューズデーの更新では、5件の重大な脆弱性と30件のリモートコード実行(RCE)欠陥が修正されました。しかし、2件のゼロデイはいずれもセキュリティ機能のバイパスに関する不具合でした。
1件目のCVE-2024-21412は、インターネットショートカットファイルに関連しています。CVSSスコアは8.1ですが、成功にはユーザーの操作が必要なため、「重要(important)」の評価にとどまると、Action1の社長であるマイク・ウォルターズ氏は述べています。
「悪用シナリオでは、攻撃者は特別に細工したファイルを標的ユーザーに送付し、それを開くよう説得する必要があります。攻撃者はユーザーに悪意のあるコンテンツへ直接関与させることを強制できないためです」と同氏は説明しました。
「この脆弱性は公に開示されていないにもかかわらず、悪用可能であることが確認されています。組織がこの脆弱性に効果的に対処するには、マイクロソフトが公開した公式パッチと更新を適用することが極めて重要です。」
パッチチューズデーの詳細: マイクロソフト、12月のパッチチューズデーで34件のCVEと1件のゼロデイを修正
2件目のゼロデイ(CVE-2024-21351)は、Microsoft DefenderのSmartScreenセキュリティ機能を回避するものです。CVSSスコアは7.6で、影響は中程度と評価されています。野外で悪用されているものの、現時点では概念実証(PoC)は公開されていないと、ウォルターズ氏は述べています。
「この脆弱性では、攻撃者は悪意のあるファイルをユーザーに配布し、それを開くよう説得する必要があります。これによりSmartScreenのチェックを回避し、システムのセキュリティを侵害する可能性があります」と同氏は付け加えました。
2件の重大RCEバグにパッチを適用する時
今月は、CVSSスコア9.8の重大な脆弱性が2件ある点にも注意が必要です。
CVE-2024-21410は権限昇格の不具合で、脅威アクターがMicrosoft Exchange Server上で、あたかも被害者であるかのように操作を実行できるようになります。
「この欠陥により、リモートの未認証攻撃者がNTLM(Windows NT Lan Manager)資格情報を中継し、Exchangeサーバー上で他のユーザーになりすますことが可能になります」と、Qualysのプロダクトマネージャーであるサイード・アッバシ氏は説明しました。
「悪用プロセスでは、OutlookのようなNTLMクライアントを標的にして、脆弱性を通じてNTLM資格情報を漏えいさせます。その後、これらの資格情報をExchangeサーバーへ中継することで、攻撃者は被害者と同等の権限を得ます。」
一方、CVE-2024-21413はOfficeの重大なRCE脆弱性で、ユーザーがそのファイルを信頼することに同意したかのように、ファイルを編集モードで開かせることができます。悪用にユーザー操作は不要で、Outlookのプレビューペインを介して発生します。
「Microsoft Update以外でパッチを適用しているOffice 2016の導入を担当する管理者は、アドバイザリに、CVE-2024-21413の修正を達成するためにインストールすべきパッチが少なくとも5つ列挙されている点に注意してください」と、Rapid7のリードソフトウェアエンジニアであるアダム・バーネット氏は警告しました。
「個別の更新KB記事では、部分的にしかパッチが適用されていないOfficeのインストールは、正しい組み合わせのパッチがインストールされるまで起動がブロックされることがさらに記載されています。」
画像クレジット: HJBC / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-two-zerodays-february/
