Microsoft 2022-05 月例アップデートは3件のゼロデイと 75件の脆弱性に対応

Microsoft May 2022 Patch Tuesday fixes 3 zero-days, 75 flaws

2022/05/10 BleepingComputer — 今日は、Microsoft の May 2022 Patch Tuesday の日だ。今月は、3件のゼロデイ脆弱性 (1件は積極的に悪用) が修正され、合計で 75件の脆弱性が修正された。今日のアップデートで修正された 75件の脆弱性のうち、8件はリモートコード実行や特権昇格を許すものであり、深刻度は Critical に分類されている。 各脆弱性のカテゴリーに含まれるバグの数は、以下のとおりである。

  • 21 件:特権昇格の脆弱性
  • 4件:セキュリティ機能回避の脆弱性
  • 26件:リモートコード実行の脆弱性
  • 17件:情報漏えいの脆弱性
  • 6件:サービス拒否の脆弱性
  • 1件:スプーフィング脆弱性
  • 0件:Edge-Chromium の脆弱性

セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5013942/KB5013945 と、Windows 11 KB5013943 を参照してほしい。

3つのゼロデイが修正されたが1つは活発に悪用されている

5月の Patch Tuesday には、3件のゼロデイ脆弱性の修正が含まれており、1件はアクティブに悪用されており、その他は公表されたものだ。Microsoft Access では、積極的に悪用されている脆弱性および、公式な修正プログラムがない状態で一般に公開されている脆弱性を、ゼロデイと分類している。

今回で修正された、積極的に悪用されるゼロデイ脆弱性は、PetitPotam NTLM リレー攻撃の新しいベクターであると思われる。この新しい脆弱性は CVE-2022-26925 は、Windows LSA Spoofing Vulnerability としてトラックバックされている。

Microsoft のアドバイザリは、「未認証の攻撃者が LSARPC インターフェースのメソッドを呼び出し、NTLM を悪用した認証をドメイン・コントローラーに強要する可能性がある。今回のセキュリティ・アップデートでは、LSARPC における匿名接続の試みを検出し、それを無効にする」と説明している。この攻撃により、脅威者は正当な認証要求を傍受し、それを利用して、ドメイン・コントローラの ID を推測し、昇格した特権を獲得できる。

同時に公開された、その他の2つのゼロデイ脆弱性は、Hyper-V におけるサービス拒否の脆弱性と、Azure Synapse/Azure Data Factory における新たなリモートコード実行の脆弱性である。

  • CVE-2022-22713 – Windows Hyper-V のサービス拒否の脆弱性
  • CVE-2022-29972 – Insight Software/Magnitude Simba Amazon Redshift ODBC ドライバのリモートコード実行の脆弱性

Microsoft が一連の脆弱性に対するパッチを発行したことで、脅威アクターたちが動き出す前に、管理者には対処していく必要が生じている。つまり、脅威アクターたちが、この情報を利用して、攻撃のための独自エクスプロイトを作成する可能性がある。今日のセキュリティ更新プログラムを、可能な限り早急にインストールすることが強く推奨される。

他社の最新アップデート

2022年5月にアップデートを公開した、他のベンダーは以下の通りである。

  • Google:Android の May Security Updates を公開し、ChromOS/Chrome のアップデートも公開した。
  • Cisco:今月は、多数の製品に対してセキュリティ・アップデートをリリースした。
  • F5:積極的に悪用さていれる深刻な脆弱性を修正するために、BIG-IP セキュリティアップデートをリリースした。

Microsoft May 2022 Patch Tuesday Security Updates

日本時間では 5月11日 (水) でしたが、早朝からキュレーション・チームの人たちがオンライン出勤してきて、Slack 上で相談しながら、May 2022 Patch Tuesday に対処していました。いつもの通り、三人体制で9時前には作業を終えていました。なお、今回の脆弱性の中で、最も深刻なセロデイ 脆弱性は CVE-2022-26925 ですが、それに対する Patch Tuesday には問題があるらしく、CISA の場合は Known Exploited Vulnerability カタログ追加したものの、一時的に削除するという警告を発しています。このあたりについては、続報でお知らせしたいと思っています。