Microsoftは今月の最新のセキュリティ更新プログラムで、3件のゼロデイ脆弱性を修正した。いずれも現実の環境で活発に悪用されている。
10月の パッチチューズデーでは104件の脆弱性が修正され、そのうち「Critical(重大)」とラベル付けされたのは12件のみだった。これらはすべてリモートコード実行(RCE)のバグだが、今月は合計で45件のRCE脆弱性が一覧に挙がっている。
CVE-2023-41763はSkypeの特権昇格の脆弱性で、攻撃者が特別に細工したネットワーク呼び出しを標的のSkype for Businessサーバーに送信できるようになると、Ivantiのセキュリティ製品担当VPであるChris Goettl氏は述べている。
「そのネットワーク呼び出しにより、任意のアドレスに対して行われたHTTPリクエストの解析が引き起こされる可能性があります。これにより、IPアドレスやポート番号、またはその両方が攻撃者に漏えいする可能性があります」と同氏は説明した。
「このCVEはImportant(重要)と評価され、CVSS v3.1は5.3ですが、概念実証コードが公開されており、現実の環境での悪用も検知されています。悪用リスクがあるため、このCVEはImportantよりも高い深刻度として扱うべきです。」
2つ目のゼロデイはCVE-2023-36563で、WordPadの情報漏えいの脆弱性であり、NTLMハッシュの漏えいを可能にする。今回もこのバグはImportantとしか評価されていないが、現実の環境で悪用されているため、パッチ適用は優先事項とすべきだ。
最後のゼロデイは、Rapid Resetによるサービス拒否(DoS)脆弱性CVE-2023-44487で、8月以降、これまでに観測された中でも最大級のDDoS攻撃の一部を実行するために現実の環境で悪用されてきた。
「この脆弱性はWindows OSおよびVisual Studio、.Net、ASP.Netで解決されています」とGoettl氏は説明した。「このCVEにはCVSSが算出されておらず、Microsoftの深刻度評価もImportantにとどまっていますが、活発に悪用されているため、このCVEはより高い深刻度として扱うべきです。」
一方で、Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は、今月修正された12件の重大なRCEバグのうち3分の2が、同じWindowsコンポーネントであるレイヤー2トンネリングプロトコルに存在すると説明した。
該当するのは次のとおり:
- CVE-2023-41765
- CVE-2023-41767
- CVE-2023-41768
- CVE-2023-41769
- CVE-2023-41770
- CVE-2023-41771
- CVE-2023-41773
- CVE-2023-41774
「レイヤー2トンネリングプロトコルの各重大RCEの悪用は、ルーティングとリモートアクセスサービス(RRAS)サーバーに対する特別に細工したプロトコルメッセージによって行われます」とBarnett氏は述べた。
「CVEは通常、連番で付与されますが、その並びに欠番があります。ここから導けるもう一つの妥当な推測は、同様の未公開の脆弱性が他にも特定され、MSRCに報告されている可能性が高いということです。」
翻訳元: https://www.infosecurity-magazine.com/news/october-patch-tuesday-three/
