Microsoftは昨日、9月のPatch Tuesdayの一環として、実環境で積極的に悪用されている2件のゼロデイ脆弱性にパッチを適用しました。
1つ目は CVE-2023-36761:公に開示されているMicrosoft Wordの情報漏えい脆弱性です。MicrosoftはOutlookにおける同様の脆弱性に対して、3月にパッチを適用しています。
「悪用に成功するとNTLMハッシュが漏えいし、攻撃者はハッシュを総当たりする必要なく『Pass the Hash』によってリモートで認証できる手段を得る可能性があります」と、Rapid7のリードソフトウェアエンジニアであるAdam Barnett氏は説明しました。
「MicrosoftがCVE-2023-36761の潜在的な影響を明確に懸念しているのは、現行バージョンのWordだけでなく、2023年4月に延長サポート終了日を迎えたWord 2013にもパッチを提供していることからも分かります。」
今月修正された2つ目のゼロデイはCVE-2023-36802で、Microsoft Streaming Service Proxyにおける権限昇格の脆弱性です。Barnett氏によれば、カーネルドライバーの悪用を通じて攻撃者にシステム権限を付与する可能性があります。
Patch Tuesdayの詳細はこちら:Microsoft、今回のPatch Tuesdayで6件のゼロデイを修正
Immersive LabsのサイバーセキュリティエンジニアであるNikolas Cemerkic氏は、サービスプロキシはOffice 365 Videoの後継であり、ネットワーク上のあらゆるデバイスで大規模な再生を可能にするものだと説明しました。
「このサービス内で脆弱性が発見されており、標的システムの侵害に成功した攻撃者が、同じマシン上で管理者権限を取得できる可能性があります」と同氏は付け加えました。
「攻撃者は低レベル権限でそのマシン上にいる必要はありますが、権限を昇格させるためにユーザー操作は必要ありません。」
このほか、今月は重大なリモートコード実行(RCE)脆弱性4件に対する修正も含まれています。
このうち3件はVisual Studioに影響します:CVE-2023-36793、CVE-2023-36796、およびCVE-2023-36792です。
「いずれもユーザーが悪意のあるパッケージファイルを開くことに依存しており、そのためユーザー操作不要のRCEではなく、任意コード実行に分類されます」とBarnett氏は説明しました。
「各ケースで、Visual Studioおよび.NETの多数のインストール環境向けにパッチが提供されています。開発者の人数が多い組織は、不釣り合いにリスクが高くなる可能性があります。」
4つ目の重大な不具合であるCVE-2023-38148はWindowsのインターネット接続共有(ICS)に存在しますが、攻撃者が標的システムと同じ共有された物理または論理ネットワーク内にいる必要があります。
翻訳元: https://www.infosecurity-magazine.com/news/fixes-two-zeroday-bugs-used-attacks/
