Microsoft の深刻な２つのゼロデイ脆弱性：2022-12 月例アップデートで FIX

Two Zero-Days Fixed in December Patch Tuesday

2022/12/14 InfoSecurity — 2022年12月の Microsoft Patch Tuesday は、２つのゼロデイを含む 50件ほどの脆弱性に対処したが、そのうちの１つは野放し状態で悪用されているものだ。このうちの一握りの脆弱性は Critical と評価され、また 13件については悪用される可能性が高いと、Microsoft は説明している。したがって、年末にシステム管理者が行うべき作業が、たくさん残っていることになる。

現時点で悪用されているゼロデイ脆弱性 CVE-2022-44698 は、Windows SmartScreen におけるセキュリティ機能バイパスの欠陥である。Tenable の Senior Staff Research Engineer である Satnam Narang によると、インターネットからダウンロードしたファイルにフラグを付ける Mark of the Web (MOTW) 機能と、Windows SmartScreen は連動しているとのことだ。

彼は、「この脆弱性は、悪意の Web サイト／電子メール／メッセージング・サービスなどで配信される悪意の添付ファイルを介して、複数のシナリオで悪用される可能性がある。ただし、SmartScreen バイパスが影響を及ぼすのは、潜在的な被害者が悪意の Web サイト訪問や、悪意の添付ファイル・オープンを行った場合に限定される」と付け加えている。ただし、この脆弱性の PoC エクスプロイト・コードは、現時点では一般に公開されていないと思われる。

２つ目のゼロデイは、DirectX Graphics Kernel の特権昇格の脆弱性 CVE-2022-44710 であり、パッチが公開される前に公表されたものだ、ただし、現時点では悪用は検出されていないようだ。Narang は、「Microsoft の Exploitability Index に基づくと、悪用される可能性が低い欠陥だと考えられる」と述べている。

Action1 の VP of Vulnerability and Threat Research である Mike Walters は、注目に値するものとして、PowerShell の深刻な脆弱性 CVE-2022-41076 を指摘している。この脆弱性は、Windows 7／Windows Server 2008 R2 以降の、すべてのWindows OS に影響を及ぼす。

Walters は、「この深刻な脆弱性は CVSS 値 8.5 であり、認証された全てのユーザーにとって悪用が可能であり、ターゲット・システム上で未承認の PowerShell コマンドを実行できる。ただし、悪用のためには、攻撃者による準備が必要となる」と説明している。

脆弱性 CVE-2022-44693 は、SharePoint におけるリモート・コード実行の脆弱性であり、CVSS 値は 8.8 である。重要なのは、この脆弱性は複雑性が低く、特権の昇格を必要としないことだ。

Walters は、「この脆弱性を悪用する攻撃者は、大半の企業がデフォルトで全 SharePoint ユーザーに付与している、リストの管理権限を持つ基本ユーザー・アカウントにアクセスするだけで済む。この脆弱性の悪用は、適切な認証情報を取得するだけで可能となり、また、ユーザーとの対話を必要とせず、ターゲットの SharePoint サーバ上でリモート・コードを実行できるようになる」と警告している。

同じく12月14日付で、「Microsoft の深刻な２つのゼロデイ脆弱性：2022-12 月例アップデートで FIX」という記事をポストしていますが、その中でも触れられている２つのゼロデイを、この記事では掘り下げています。そして、MOTW 関連の脆弱性 CVE-2022-44698 は、注目を集めるものになるはずです。先ほどにポストした、「QBot の新しい戦略：SVG ベクター画像ファイル内にマルウエアを隠し持つ」とも関連する話です。よろしければ、MOTW で検索も、ご利用ください。