Microsoft December 2021 Patch Tuesday fixes 6 zero-days, 67 flaws
2021/12/14 BleepingComputer — 今日は、Microsoft の December 2021 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性と合計で67件の欠陥が修正された。これらのアップデートには、マルウェアの配布キャンペーンで積極的に悪用されている、Windows Installer の脆弱性の修正も含まれている。Microsoft は、今日のアップデートで 55件の脆弱性 (Microsoft Edge を除く) を修正し、7件を Critical に、60件を Important に分類した。
脆弱性の種類ごとの数は以下のとおりである。
- 21件:特権の昇格に関する脆弱性
- 26件:リモートコード実行の脆弱性
- 10件:情報漏えいの脆弱性
- 3件:サービス妨害 (Denial of Service) の脆弱性
- 7件:なりすましの脆弱性
セキュリティ以外の Windows アップデートについては、本日に公開された Windows 10 KB5008212 & KB5008206 についてを参照してほしい。
6件のゼロデイが修正されたが、2件は積極的に悪用されている
12月のパッチ・チューズデーでは、6件のゼロデイ脆弱性の修正が行われたが、1件のWindows AppX インストーラーの脆弱性が積極的に悪用されているとのことだ。Microsoft では、一般への公開や、積極的な悪用には関係なく、公式な修正プログラムが提供されていない脆弱性をゼロデイと分類している。
積極的に悪用されている Windows AppX Installer のゼロデイ脆弱性は、CVE-2021-43890 として追跡されており、Emotet/TrickBot/BazarLoader などの、さまざまなマルウェアの配布キャンペーンで使用されている。
また、Microsoft は、2021年12月の パッチ・チューズデーの一環として、攻撃に悪用されることが知られていないが、一般には公開されている5つのゼロデイ脆弱性を修正した。
- CVE-2021-43240 – NTFS セットのショートネームによる特権昇格の脆弱性
- CVE-2021-41333 – Windows Print Spooler 特権昇格の脆弱性
- CVE-2021-43880 – Windows Mobile Device Management 特権昇格の脆弱性
- CVE-2021-43883 – Windows インストーラーの特権昇格の脆弱性
- CVE-2021-43893 – Windows 暗号化ファイルシステム (EFS) 特権昇格の脆弱性
他社の最新アップデート
11月にアップデートを公開した、他ベンダーの状況は以下の通りである。 - Android の 12月のセキュリティ・アップデートが先週に公開された。
- Apache Log4j:インターネット上で大きな問題となっている脆弱性について、多数のセキュリティ勧告が発表された。
- Apple が、iOS/iPadOS/macOS/tvOS/watchOS のセキュリティ・アップデートを公開した。
- Cisco は、自社製品の Log4j 脆弱性に関連するアドバイザリを含め、多数の製品のセキュリティ・アップデートを公開した。
- SAP が、2021年12月のセキュリティ・アップデートを公開した。
- VMWare が、自社製品の Log4j 脆弱性パッチに関するアドバイザリを公開した。
December 2021 Patch Tuesday について
2021年12月のパッチチューズデー・アップデートで解決された脆弱性、および、公開されたアドバイザリ、影響を受けるシステムに関しては、このフル・レポートを参照してほしい。
今回のアップデートで中奥されるのは、Windows AppX Installer のゼロデイ脆弱性 CVE-2021-43890 でしょう。本文にもあるように、Emotet/TrickBot/BazarLoader などのマルウェア配布キャンペーンで使用されているようです。可能な限り早急に、ご対応ください。