Microsoft 2023-2 月例アップデートは3件のゼロデイと 77件の脆弱性に対応

Microsoft February 2023 Patch Tuesday fixes 3 exploited zero-days, 77 flaws

2023/02/14 BleepingComputer — 今日の、Microsoft February 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性3件を含む、合計77件の脆弱性が修正された。そのうちの9件は、脆弱なデバイスでリモート・コード実行を可能にするもので、深刻度 Critical に分類されている。

各脆弱性のカテゴリーに含まれるバグの数は、以下の通りとなる。

  • 12件:権限昇格の脆弱性
  • 2件:セキュリティ・バイパスの脆弱性
  • 38件:リモート・コード実行の脆弱性
  • 8件:情報漏えいの脆弱性
  • 10件:サービス運用妨害の脆弱性
  • 8件:成りすましの脆弱性

セキュリティ以外の Windows の更新プログラムについては、新しい Windows 11 KB5022845/KB5022836 の更新プログラムや、Windows 10 KB5022834/KB5022840 の更新プログラムを参照してほしい。

3件のゼロデイが修正された

February 2023 Patch Tuesday では、活発に悪用されている3件のゼロデイ脆弱性が修正された。Microsoft では、一般に公開されている場合や、公式な修正プログラムがなく積極的に悪用されている脆弱性を、ゼロデイに分類している。

今日の更新で修正された、積極的に悪用されている3件のゼロデイ脆弱性は以下の通りだ:

CVE-2023-21823 :Windows Graphics Component のリモート・コード実行の脆弱性であり、Mandiant の Dhanesh Kizhakkinan/Genwei Jiang/Dhanesh Kizhakkinan により発見された。

Microsoft によると、この脆弱性により、攻撃者は SYSTEM 権限でコマンドを実行できるようになるとのことだ。

このセキュリティ更新プログラムは、Windows Update ではなく、Microsoft Store 経由でユーザーにプッシュ配信される予定だ。そのため、Microsoft Storeで自動更新を無効にしている顧客に対してはプッシュ配信されない。

BleepingComputer は、これらの脆弱性が積極的に悪用されたことについて、Mandiant に問い合わせている。

CVE-2023-21715:Microsoft Publisher のセキュリティ・バイパスの脆弱性であり、Microsoft の Hidetake Jo により発見された。

この脆弱性は、特別に細工された文書により、信頼できないファイルや悪意のファイルをブロックする Office マクロポリシーのバイパスが可能になるものだ。この脆弱性の悪用に成功すると、悪意の Publisher 文書内のマクロが、ユーザーに警告を発することなく実行される。

Microsoft は、「攻撃自体は、対象となるシステムの認証を受けたユーザーによってローカルに実行される。認証された攻撃者が、ソーシャル・エンジニアリングにより、犠牲者に特別に細工されたファイルを Web サイトからダウンロードして開かせることで、この脆弱性を悪用し、犠牲者のコンピュータにローカルな攻撃を仕掛けることができる」と説明している。

CVE-2023-23376:Windows Common Log File System Driver の権限昇格の脆弱性で、Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) が発見した。

この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を得られる。

BleepingComputer は、CVE-2023-21715/CVE-2023-23376 の脆弱性がどのように攻撃に利用されたのかについて、Microsoft に問い合わせている。

他社の最近のアップデート

その他、2023年2月にアップデートを公開したベンダーは、以下の通りである。

  • Adobe:多数の製品のセキュリティ・アップデートを公開。
  • Apple:iOS/MacOS において、積極的に悪用される WebKit のゼロデイ脆弱性を修正した。
  • Atlassian:Jira Service Management Server/Data Center の深刻な脆弱性に対するセキュリティ・アップデートを公開。
  • Cisco:Cisco Identity Services/Cisco Broadworks/Cisco Email Security appliance を含む複数の製品のセキュリティ・アップデートを公開。
  • Google:Pixel の2月のセキュリティ・アップデートを公開。
  • Fortra:活発に悪用される GoAnywhere MFT のゼロデイに対するセキュリティ・アップデートを公開。
  • SAP:February 2023 Patch Day を公開。

以下は、February 2023 Patch Tuesday で修正された脆弱性と、リリースされたアドバイザリの全リストだ。完全なレポートは、ココで確認できる。

最近の Microsoft の脆弱性情報としては、2022/12/14 の「Microsoft の深刻な2つのゼロデイ脆弱性:2022-12 月例アップデートで FIX」と、2022/12/15 の「Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958:IBM が唱える異論とは?」などがあります。また、Patch Tuesday に関しては、以下の記事を、ご参照ください。

Microsoft 2023-1 月例アップデート
Microsoft 2022-12 月例アップデート
Microsoft 2022-11 月例アップデート