Microsoft 2022-10 月例アップデートは2件のゼロデイと 84件の脆弱性に対応

Microsoft October 2022 Patch Tuesday fixes zero-day used in attacks, 84 flaws

2022/10/11 BleepingComputer — 今日は Microsoft の October 2022 Patch Tuesday だが、それに伴い、活発に悪用されている Windows の脆弱性などを含む、合計で 84件の不具合が修正された。今日のアップデートで修正された 84件の脆弱性のうち 13件は、最も深刻な Critical に分類され、特権昇格/なりすまし/リモートコード実行などを許すものだ。

各脆弱性のカテゴリーに含まれるバグの件数は、以下の通りとなる。

  • 39 件:特権昇格の脆弱性
  • 2件:セキュリティ機能回避の脆弱性
  • 20件:リモートコード実行の脆弱性
  • 11件:情報漏えいの脆弱性
  • 8件:サービス拒否の脆弱性
  • 4件 スプーフィング脆弱性

ただし、上記の件数には、10月3日にMicrosoft Edgeで修正された、脆弱性 12件は含まれていない。

セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5018410/KB5018419 の更新プログラムおよび、Windows 11 KB5018427 の更新プログラムを参照してほしい。

2件のゼロデイが修正されたが、1件活発に悪用されている

10月の Patch Tuesday では、攻撃で活発に悪用されている脆弱性と、一般に公開されているゼロデイ脆弱性の、2件が修正された。Microsoft では、公式な修正プログラムが提供されていない状態で、一般に公開されている脆弱性と、積極的に悪用されている脆弱性を、ゼロデイに分類している。

今日のアップデートで修正された、積極的に悪用されるゼロデイ脆弱性 CVE-2022-41033 は、Windows COM+ Event System Service Elevation of Privilege Vulnerability」として追跡調査されている。

Microsoft のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を不正に取得する」と記されている。また、この悪用された脆弱性は、匿名の研究者により発見されたと、付け加えられている。

もう1件の脆弱性 CVE-2022-41043 は、一般に公開された後に、Microsoft Office Information Disclosure Vulnerability として追跡されているものだ。こちらは、SpecterOps の Cody Thomas により発見されている。Microsoft によると、この脆弱性の悪用に成功した攻撃者は、ユーザーの認証トークンを入手できるという。

Microsoft Exchange のゼロデイが修正されていない

残念ながら、ProxyNotShell と呼ばれるゼロデイ脆弱性 CVE-2022-41040/CVE-2022-41082 対する、セキュリティ更新プログラムはリリースされなかった。これらの脆弱性は、9月下旬にベトナムのサイバー・セキュリティ企業である GTSC が公開したものであり、この攻撃が発見したとも言われている。

この脆弱性は、Trend Micro の Zero Day Initiative を介して、Microsoft に開示されていたことで、今日のアップデートで修正されると予想されていた。しかし、今日の Microsoft Exchange セキュリティ情報には、修正の準備が整っていないと記載されている。

Microsoft Exchange に関する速報には、「2022年10月の SU には、2022年9月29日に公開されたゼロデイ脆弱性 (CVE-2022-41040/CVE-2022-41082) に対する修正は含まれていない 。これらの脆弱性の緩和策を適用する場合には、このブログ記事を参照してほしい。脆弱性 CVE-2022-41040/CVE-2022-41082 については、準備が整い次第、アップデートを公開する予定である」と記載されている。

他社による最近のアップデート

2022年10月にアップデートをリリースした他のベンダーは、以下の通りである。

  • Apple:Mail におけるサービス拒否の脆弱性を修正した、iOS 16.0.3 をリリース。
  • Cisco:今月は、多数の製品のセキュリティ・アップデートをリリース。
  • Fortinet:積極的に悪用されている、認証バイパスの脆弱性に対するセキュリティ・アップデートをリリース。
  • Google:Android の10月のセキュリティ・アップデートを。
  • SAP:2022年10月の Patch Day アップデートを公開。
  • VMware:VMware ESXi/vCenter Server の脆弱性に対するセキュリティ・アップデートを公開した。

Microsoft の October 2022 Patch Tuesday のフル・レポートは、ココで参照できる。

Microsoft 2022-20 月例アップデートですが、文中にもあるように、Exchange のゼロデイ脆弱性 (CVE-2022-41040/CVE-2022-41082) に対する修正は含まれていません。おそらく、来月の月例を待たずにアップデートされるはずなので、見逃さないようにしたいです。よろしければ、2022-09 月例アップデートや、2022-08 月例アップデートなども、ご確認ください。