Microsoft 2022-07 月例アップデートは1件のゼロデイと 84件の脆弱性に対応

Microsoft Releases Fix for Zero-Day Flaw in July 2022 Security Patch Rollout

2022/07/12 TheHackerNews — 今日は、Microsoft July 2022 Patch Tuesday の日だ。今月は、野放し状態で悪用されているゼロデイ脆弱性を含む、合計で 84件の脆弱性が修正された。今日のアップデートで修正された 84件の脆弱性のうち、4件が Critical、80件が Important に分類されている。また、これとは別に、Chromium-based Edge の2件の脆弱性も修正された。そのうちの1件は、活発に攻撃されていると Google が公表した、ゼロデイ脆弱性に対応している。

今回のアップデートで一番に注目されるのは、Windows Client Server Runtime Subsystem (CSRSS) の権限昇格の脆弱性 CVE-2022-22047 (CVSS:7.8) の修正だろう。この脆弱性を悪用して、攻撃者は、SYSTEM 権限を得ることが可能になる。

Immersive Labs の Director of Cyber Threat Research である Kev Breen は、The Hacker News に対し、「SYSTEM 権限をもつことで、攻撃者たちは Endpoint Detection and Security などのローカル・サービスを無効化することができる。さらに、Mimikatz などのツールの展開が可能になり、更に多くの管理者や、ドメイン・レベルのアカウントの回復ができるようになるため、脅威を迅速に広めている」と述べている。

Microsoft からの Exploitation Detected という評価以外、その攻撃の性質と規模については、ほとんど公開されていない。同社の Threat Intelligence Center (MSTIC)と Security Response Center (MSRC) が、この脆弱性を報告したものとされている。

Google Project Zero の研究者 Sergei Glazunov が報告した、Windows の CSRSS コンポーネント における権限昇格の脆弱性 CVE-2022-22026 (CVSS :8.8) /CVE-2022-22049 (CVSS:7.8) も修正された。

Microsoft は、CVE-2022-22026 のアドバイザリで、「ローカルで認証された攻撃者は、特別に細工したデータを、ローカルの CSRSS サービスに送信し、権限を AppContainer から SYSTEM に昇格させる。そのため、AppContainer 環境は、防御可能なセキュリティ境界とみなされ、この境界を回避できるプロセスは、Scope の変更とみなされる。そして、攻撃者は、AppContainer 実行環境よりも高い完全性レベルで、コード実行/リソースへのアクセスが可能になる」と説明している。

また、Windows Network File System (CVE-2022-22029/CVE-2022-22039)、Windows Graphics (CVE-2022-30221)、Remote Procedure Call Runtime (CVE-2022-22038)、Windows Shell (CVE-2022-30222) などにおける、リモート・コード実行の脆弱性も修正されている。

さらに、このアップデートで特徴的なのは、災害復旧サービス Azure Site Recovery における 32件もの脆弱性に対応していることだ。これらのうちの、2件はリモート・コード実行の脆弱性で、残りの 30件は権限昇格の脆弱性に分類されている。

Microsoft は、これらの脆弱性について、「機密情報の開示はできないが、攻撃者がデータを変更し、サービスを利用できなくなる可能性がある」と述べている。

さらに、Microsoft July 2022 Patch Tuesday では、6月の Patch Tuesday で修正されなかった、 Windows Print Spooler module の4つの特権昇格の脆弱性 (CVE-2022-22022/CVE-2022-22041/CVE-2022-30206/CVE-2022-30226) の修正も含まれており、技術を苦しめる脆弱性の終わりがないことが示唆されている。

その他には、Windows Server Service (CVE-2022-30216) /Microsoft Defender for Endpoint (CVE-2022-33637) における改ざんの脆弱性、Internet Information Services (CVE-2022-22025, CVE-2022-22040) /Security Account Manager (CVE-2022-30208) のサービス妨害 (DoS) の脆弱性が修正されている。

他社の最新アップデート

2022年7月に更新プログラムをリリースしている他のベンダーは、以下のとおりである。

なお、Microsoft July 2022 Patch Tuesday のフル・レポートは、ココで参照できる。

Microsoft の Patch Tuesday は、日本時間だと水曜日の午前3時ころに公開されるそうです。お隣のキュレーション・チームも、この日は事前に役割分担を決めて、6時ころから臨戦態勢に入るそうです。だいたい、9時ころにはレポートをまとめ上げるようですが、ヘロヘロになると言っていました。そのレポートが、10時ころにはユーザーに配布されるわけですが、その先にもヘロヘロになる方々が、たくさんいるのだろうと思います。月イチの修行の日ですね。

%d bloggers like this: