Microsoft 2022-11 月例アップデートは6件のゼロデイと 68件の脆弱性に対応

Microsoft November 2022 Patch Tuesday fixes 6 exploited zero-days, 68 flaws

2022/11/08 BleepingComputer — 今日の、Microsoft November 2022 Patch Tuesday により、Windows 上で活発に悪用されている6件の脆弱性を含む、合計 68件の脆弱性が修正された。今日のアップデートでは、68件の脆弱性が修正されたが、そのうち 11件は、最も深刻なタイプの脆弱性のひとつである権限昇格/成りすまし/リモート・コード実行を可能にするもので、Critical に分類されている。

各脆弱性のカテゴリーに含まれるバグの数は、以下の通りとなる。

  • 27件:権限昇格の脆弱性
  • 4件:セキュリティ・バイパスの脆弱性
  • 16件:リモート・コード実行の脆弱性
  • 11件:情報漏えいの脆弱性
  • 6件:サービス運用妨害の脆弱性
  • 3件:成りすましの脆弱性

なお、上記の件数には、11月2日に公開された OpenSSL の脆弱性2件は含まれていない。セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5019959/KB5019966 の更新プログラムや、Windows 11 KB5019980/KB5019961 の更新プログラムを参照してほしい。

活発に悪用されている6件のゼロデイが修正された

November 2022 Patch では、アクティブに悪用されている6件のゼロデイ脆弱性が修正され、そのうち1件は一般に公開されている。Microsoft では、一般に公開されている場合や、公式な修正プログラムがなく積極的に悪用されている脆弱性を、ゼロデイに分類している。

今日の更新で修正された、積極的に悪用されている6件のゼロデイ脆弱性は以下の通りだ:

CVE-2022-41128:Windows スクリプト言語のリモート・コード実行の脆弱性 であり、Google のThreat Analysis Group の Clément Lecigne により発見された。

この脆弱性は、影響を受けるバージョンの Windows を使用するユーザーが、悪意のサーバーにアクセスすることを必要とする。攻撃者は、特別に細工されたサーバー共有またはウェブサイトをホストする必要があり、ユーザーにこの特別に細工されたサーバー共有やウェブサイトを強制的に訪問させる方法がない。通常、メールやチャット・メッセージの誘惑によって、サーバー共有やウェブサイトを訪問するように説得する必要が生じる。

CVE-2022-41091:Windows の Mark of the Web コンポーネントにおけるセキュリティ・バイパスの脆弱性であり、Will Dormann により発見された。

この脆弱性により、攻撃者は、Mark of the Web (MoTW) のセキュリティを回避する悪意のファイルを作成が可能になる。その結果、Microsoft Office の保護ビューなどの MOTW タグに依存している、セキュリティ機能の整合性と可用性が限定的に失われる。このセキュリティ更新プログラムは、Dormann が発見した、特別に細工した Zip ファイルを作成することで Windows のセキュリティ機能をバイパスする方法を実証した、Mark of the Web の2つのバイパスを修正する。今日に、Dormann は、読み取り専用のファイルを含む ZIP アーカイブを作成し、この脆弱性を悪用する方法の詳細を公開した。

CVE-2022-41073:Windows の Print Spooler コンポーネントにおける権限昇格の脆弱性 Microsoft Threat Intelligence Center (MSTIC) により発見された。

この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性がある。

CVE-2022-41125:Windows の CNG Key Isolation Service コンポーネントにおける権限昇格の脆弱性であり、Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) により発見された。

この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性がある。

CVE-2022-41040:Microsoft Exchange Server における権限昇格の脆弱性であり、GTSC により発見され、Zero Day initiative より公開された。

この脆弱性の悪用に成功した攻撃者は、システムのコンテキストで PowerShell を実行する権限を獲得する可能性がある。

CVE-2022-41082:Microsoft Exchange Server のリモート・コード実行の脆弱性であり、GTSC により発見され、Zero Day initiative より公開された。

この脆弱性の悪用に成功した攻撃者は、サーバーのアカウントを対象に、任意のコード実行やリモート・コード実行が可能になる。攻撃者は、認証されたユーザーとして、ネットワーク・コールを介して、サーバーのアカウントのコンテキストで悪意のコードをトリガーできる。

Microsoft Exchange ProxyNotShell のゼロデイが修正された

Microsoft は、ProxyNotShell と呼ばれ活発に悪用されている、2件のゼロデイ脆弱性 CVE-2022-41040/CVE-2022-41082 に対処する、セキュリティ更新プログラムをリリースした。

これらの脆弱性は、攻撃に悪用されている脆弱性を最初に発見した、ベトナムのサイバーセキュリティ企業 GTSC により 9月下旬に公開され、Zero Day Initiative プログラムを通じて Microsoft に報告された。

Microsoft は、今日の Microsoft Exchange Server 2019/2016/2013 のセキュリティ更新プログラム KB5019758 において、ProxyNotShell の脆弱性を修正した。

他社の最近のアップデート

その他、2022年11月にアップデートを公開したベンダーは、以下の通りである。

  • Apple:多数のセキュリティ・アップデートを含む、Xcode 14.1 を公開。
  • Cisco:多数の製品のセキュリティ・アップデートを公開。
  • Citrix:Citrix ADA/Gateway における Critical 認証バイパスに対する、セキュリティ・アップデートを公開。
  • Google:Android の 11月のセキュリティ・アップデートを公開。
  • Intel:2022年11月のセキュリティ・アップデートを公開。
  • OpenSSL:CVE-2022-3602/CVE-2022-3786 に対するセキュリティ・アップデートを公開。
  • SAP:November 2022 Patch Day を公開。

以下は、November Patch Tuesday で修正された脆弱性と、リリースされたアドバイザリの全リストだ。完全なレポートは、ココで確認できる。

かなりの時間を要しましたが、11月の Patch Tuesday で Exchange の ProxyNotShell が FIX したとのことです。なお、Mark of the Web の脆弱性ですが、2件の解決と1件の未解決という、後追いの記事も出ています。現在、翻訳中です。 この MoTW ですが、Office の VBA マクロの位置づけまで含めて、Microsoft が取り組んでいるマルウェア/フィッシング対策の要とも言える部分です。今後の展開を注視していきます。

%d bloggers like this: