Microsoft 警告：Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃を検知

Microsoft Raises Alert for Under-Attack Windows Flaw

2022/09/13 SecurityWeek — Microsoft のセキュリティ・チームが、主要 Windows プラットフォームの深刻な脆弱性を悪用するゼロデイ攻撃を検出したことを明らかにした。同社は、9月の Patch Tuesday において、最新のゼロデイ脆弱性に対する修正を提供しているが、すでに、この脆弱性を悪用する攻撃者たちが、パッチが適用された Windows マシンでも SYSTEM 権限を獲得しているケースがあると警告している。

Microsoft は、データおよびイベントのログに使用される、サブシステム Windows Common Log File System (CLFS) にバグが存在することを認め、簡素な情報を発表している。

このレポートには、以下のようなコメントが掲載されている。

「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を取得できる。攻撃者たちは、ターゲット・システム上にアクセスし、コードを実行する能力を、事前に持っている必要がある。したがって、攻撃者がターゲット・システム上で、その能力を持っていない場合には、リモートからのコード実行は不可能である」

脆弱性 CVE-2022-37969 は、4つの異なる組織から Microsoft に報告されており、限定的な標的型攻撃と関連したエクスプロイト・チェーンでの悪用が示唆されている。

Microsoft は、このバグに関する技術的な詳細や、防御者が感染の兆候を探すための IOC (indicators of compromise) を公表していない。  

すでに悪用されている CLFS 欠陥の CVSS スコアは、7.8 となっている。

Microsoft Patch Tuesday では、Dynamics CRM／SharePoint／Office／Office Components／Windows Defender／Chromium Microsoft Edge におけるリモートコード実行の欠陥などがあり、広範囲に及ぶ Windows／OS のコンポーネントにおいて、少なくとも 64件の新しい脆弱性が対象となる。

脆弱性警告を綿密に追跡している Trend Micro ZDI によると、Windows 管理者は、これらの追加の問題に対して、緊急に対処する必要がある。

CVE-2022-34718 — Windows TCP/IP Remote Code Execution Vulnerability — この Critical なバグは、リモートの認証されていない攻撃者が、影響を受けるシステム上でユーザーの操作なしに、昇格した権限でコード実行する可能性を生じる。これは、公式に「ワーム可能」なカテゴリに分類され、CVSS 9.8 と評価されている。ただし、IPv6 が有効で IPSec が設定されているシステムのみが脆弱性を持つことになる。一部の人々にとっては朗報ですが、IPv6を使用している場合には、おそらく IPSec も実行していることだろう。このアップデートを迅速にテストして、ディプロイすることが必要だ。

CVE-2022-34724 — Windows DNS Server Denial of Service Vulnerability — このバグは、コード実行の可能性がないが、その潜在的な影響のため、おそらく High として扱うべきだろう。リモートの認証されていない攻撃者は、DNS サーバでサービス拒否 (DoS) 状態を作り出すことが可能とされる。この DoS により、DNSサービスの停止もしくは、システム全体の停止が生じる可能性は不明である。DNS の停止は深刻な事態を招くが、クラウドには大量のリソースが存在するため、これらのリソースへの接続を示す DNS の損失は、多くの企業にとって破滅的なものになる可能性がある。

CVE-2022-3075 — Chromium: Mojo における不十分なデータ検証 — このパッチは9月2日に Google Chromeチームによりリリースされたものであり、見逃した場合のための警告である。この脆弱性は、影響を受ける Chromium ベースの Edge 上でコード実行を可能にし、野放し状態での悪用が検出されている。今年に入ってから検出された、6番目の Chrome エクスプロイトである。この傾向は、ユビキタスともいえるブラウザ・プラットフォームが、攻撃者の人気ターゲットになっていることを示している。Chromiumをベースとする、すべてのシステムをアップデートする必要がある。

Microsoft に加えて Adobe も、広範囲で使用されている Windows／macOS 製品に存在する、少なくとも 63件の脆弱性に対するセキュリティ修正プログラムを配布している。

Adobe は、9月に予定された Patch Tuesday の一部として、Adobe Bridge／InDesign／Photoshop／InCopy／Animage／Illustrator の各製品に影響をおよぼす、深刻な脆弱性を公表している。 

なお、Adobe が、パッチが適用された全ての脆弱性ついて、野放し状態での悪用は認識していないと述べている。

先ほどの「Microsoft 2022-09 月例アップデートは２件のゼロデイと 63件の脆弱性に対応」でお伝えしたように、September 2022 Patch Tuesday で対処されたゼロデイ脆弱性 CVE-2022-37969 には注意が必要とのことです。その他にも、Windows TCP/IP のリモートコード実行の脆弱性 CVE-2022-34718 および、Windows DNS Server のサービス拒否の脆弱性 CVE-2022-34724、Chromium Mojo の不十分なデータ検証 CVE-2022-3075 は、要注意とのことです。