Microsoft 2022-12 月例アップデートは2件のゼロデイと 49件の脆弱性に対応

Microsoft December 2022 Patch Tuesday fixes 2 zero-days, 49 flaws

2022/12/13 BleepingComputer — 今日の Microsoft December 2022 Patch Tuesday により、活発に悪用されている2件の脆弱性を含む、合計 49件の脆弱性が修正された。49件の脆弱性のうち6件は、リモート・コード実行を可能にするもので、Critical に分類されている。

各脆弱性のカテゴリーに含まれるバグの数は、以下の通りとなる。

  • 19件:権限昇格の脆弱性
  • 2件:セキュリティ・バイパスの脆弱性
  • 23件:リモート・コード実行の脆弱性
  • 3件:情報漏えいの脆弱性
  • 3件:サービス運用妨害の脆弱性
  • 1件:成りすましの脆弱性

なお、上記の件数には、12月5日に公開された Microsoft Edge の脆弱性 25件は含まれていない。セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5021233/KB5021237 の更新プログラムや、Windows 11 KB5021255/KB5021234 の更新プログラムを参照してほしい。

2件のゼロデイが修正された

December 2022 Patch では、活発に悪用されている2件のゼロデイ脆弱性が修正されたが、そのうち1件は一般に公開されている。Microsoft では、一般に公開されている場合や、公式な修正プログラムがなく積極的に悪用されている脆弱性を、ゼロデイに分類している。

今日の更新で修正された、積極的に悪用されている2件のゼロデイ脆弱性は以下の通りだ:

CVE-2022-44698:Windows SmartScreen のセキュリティ機能バイパスの脆弱性であり、Will Dormann により発見された。この脆弱性を悪用する脅威アクターは、Mark of the Web (MOTW) の防御を回避する悪意のファイルを作成できる。

その結果として、MOTW タグに依存している Microsoft Office の Protected View などの、セキュリティ機能の整合性/可用性が限定的に失われる。具体的に言うと、この脆弱性の悪用に成功した脅威アクターは、不正な署名を使用した悪意のスタンドアロン JavaScript ファイルを作成していた。

JavaScript file used to install the Magniber Ransomware
Magniber Ransomware をインストールするために使用される JavaScript ファイル
Source: BleepingComputer​​

この方法で署名すると、SmartCheck がエラーになり、Mark of the Web セキュリティ警告が表示されない。そのため、悪意のスクリプトが実行され、マルウェアが自動的にインストールされてしまう。

脅威アクターたちは、QBot トロイの木馬/Magniber ランサムウェアを広めるキャンペーンなどで、この脆弱性が積極的に悪用されている。

CVE-2022-44710:DirectX Graphics Kernel における権限昇格の脆弱性であり、Luka Pribanić により発見された。この脆弱性の悪用を成功させるには、攻撃者は、競合状態を勝ち抜く必要がある。悪用に成功した場合、攻撃者は SYSTEM 権限を獲得する可能性がある。

他社の最近のアップデート

その他、2022年12月にアップデートを公開したベンダーは、以下の通りである。

  • Cisco:Cisco IP Phone 7800/8800 のセキュリティ・アップデートを公開。
  • Citrix:Citrix ADA/Gateway の深刻な RCE 脆弱性に対するセキュリティ・アップデートを公開。
  • Fortinet:Fortinet FortiOS の SSL-VPN における、活発に悪用されている脆弱性に対するセキュリティ・アップデートを公開。
  • Google:Android の 12月のセキュリティ・アップデートを公開。
  • SAP:December 2022 Patch Day を公開。

以下は、December Patch Tuesday で修正された脆弱性と、リリースされたアドバイザリの全リストだ。完全なレポートは、ココで確認できる。

Mark of the Web (MOTW) の防御回避の脆弱性が FIX してよかったです。11月9日の「Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能」で解説されているように、この問題はについては、CVE-2022-41049 と CVE-2022-41091 という2つの脆弱性が FIX していましたが、もう1つの CVE-2022-44698 が残っている状況でした。Microsoft + 月例 で検索すると、一連の Patch Tuesday が参照できます。