Microsoft 2022-07 月例アップデートは１件のゼロデイと 84件の脆弱性に対応

Microsoft Releases Fix for Zero-Day Flaw in July 2022 Security Patch Rollout

2022/07/12 TheHackerNews — 今日は、Microsoft July 2022 Patch Tuesday の日だ。今月は、野放し状態で悪用されているゼロデイ脆弱性を含む、合計で 84件の脆弱性が修正された。今日のアップデートで修正された 84件の脆弱性のうち、4件が Critical、80件が Important に分類されている。また、これとは別に、Chromium-based Edge の２件の脆弱性も修正された。そのうちの１件は、活発に攻撃されていると Google が公表した、ゼロデイ脆弱性に対応している。

今回のアップデートで一番に注目されるのは、Windows Client Server Runtime Subsystem (CSRSS) の権限昇格の脆弱性 CVE-2022-22047 (CVSS：7.8) の修正だろう。この脆弱性を悪用して、攻撃者は、SYSTEM 権限を得ることが可能になる。

Immersive Labs の Director of Cyber Threat Research である Kev Breen は、The Hacker News に対し、「SYSTEM 権限をもつことで、攻撃者たちは Endpoint Detection and Security などのローカル・サービスを無効化することができる。さらに、Mimikatz などのツールの展開が可能になり、更に多くの管理者や、ドメイン・レベルのアカウントの回復ができるようになるため、脅威を迅速に広めている」と述べている。

Microsoft からの Exploitation Detected という評価以外、その攻撃の性質と規模については、ほとんど公開されていない。同社の Threat Intelligence Center (MSTIC)と Security Response Center (MSRC) が、この脆弱性を報告したものとされている。

Google Project Zero の研究者 Sergei Glazunov が報告した、Windows の CSRSS コンポーネント における権限昇格の脆弱性 CVE-2022-22026 (CVSS ：8.8) ／CVE-2022-22049 (CVSS：7.8) も修正された。

Microsoft は、CVE-2022-22026 のアドバイザリで、「ローカルで認証された攻撃者は、特別に細工したデータを、ローカルの CSRSS サービスに送信し、権限を AppContainer から SYSTEM に昇格させる。そのため、AppContainer 環境は、防御可能なセキュリティ境界とみなされ、この境界を回避できるプロセスは、Scope の変更とみなされる。そして、攻撃者は、AppContainer 実行環境よりも高い完全性レベルで、コード実行／リソースへのアクセスが可能になる」と説明している。

また、Windows Network File System (CVE-2022-22029／CVE-2022-22039)、Windows Graphics (CVE-2022-30221)、Remote Procedure Call Runtime (CVE-2022-22038)、Windows Shell (CVE-2022-30222) などにおける、リモート・コード実行の脆弱性も修正されている。

さらに、このアップデートで特徴的なのは、災害復旧サービス Azure Site Recovery における 32件もの脆弱性に対応していることだ。これらのうちの、２件はリモート・コード実行の脆弱性で、残りの 30件は権限昇格の脆弱性に分類されている。

Microsoft は、これらの脆弱性について、「機密情報の開示はできないが、攻撃者がデータを変更し、サービスを利用できなくなる可能性がある」と述べている。

さらに、Microsoft July 2022 Patch Tuesday では、６月の Patch Tuesday で修正されなかった、 Windows Print Spooler module の４つの特権昇格の脆弱性 (CVE-2022-22022／CVE-2022-22041／CVE-2022-30206／CVE-2022-30226) の修正も含まれており、技術を苦しめる脆弱性の終わりがないことが示唆されている。

その他には、Windows Server Service (CVE-2022-30216) ／Microsoft Defender for Endpoint (CVE-2022-33637) における改ざんの脆弱性、Internet Information Services (CVE-2022-22025, CVE-2022-22040) ／Security Account Manager (CVE-2022-30208) のサービス妨害 (DoS) の脆弱性が修正されている。

他社の最新アップデート

2022年7月に更新プログラムをリリースしている他のベンダーは、以下のとおりである。

• Adobe
• AMD
• Android
• Apache Projects
• Cisco
• Citrix
• Dell
• Fortinet
• GitLab
• Google Chrome
• HP
• Intel
• Lenovo
• Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
• MediaTek
• Qualcomm
• SAP
• Schneider Electric
• Siemens, and
• VMware

なお、Microsoft July 2022 Patch Tuesday のフル・レポートは、ココで参照できる。

Microsoft の Patch Tuesday は、日本時間だと水曜日の午前３時ころに公開されるそうです。お隣のキュレーション・チームも、この日は事前に役割分担を決めて、６時ころから臨戦態勢に入るそうです。だいたい、９時ころにはレポートをまとめ上げるようですが、ヘロヘロになると言っていました。そのレポートが、10時ころにはユーザーに配布されるわけですが、その先にもヘロヘロになる方々が、たくさんいるのだろうと思います。月イチの修行の日ですね。