Microsoft 2023-3 月例アップデートは2件のゼロデイと 83件の脆弱性に対応

Microsoft March 2023 Patch Tuesday fixes 2 zero-days, 83 flaws

2023/03/14 BleepingComputer — 今日は Microsoft の March 2023 Patch Tuesday の日であり、このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性2件と、合計で 83件の不具合が修正された。また、Critical と評価された9つの脆弱性は、リモートコード実行/サービス拒否/特権昇格攻撃などにいたる恐れのあるものだ。


各脆弱性のカテゴリーごとの件数は以下の通りである。

  • 21 件:特権昇格の脆弱性
  • 2 件:セキュリティ機能回避の脆弱性
  • 27 件:リモートコード実行の脆弱性
  • 15 件:情報開示の脆弱性
  • 4 件:サービス拒否の脆弱性
  • 10 件スプーフィング脆弱性
  • 1 件:Edge – Chromiumの脆弱性

なお、上記のリストには、Microsoft Edge に存在し、昨日に修正された 21件の脆弱性は含まれていない。また、今日にリリースされた累積更新プログラムの詳細については、最新の Windows 11 KB5023706/KB5023698 と、Windows 10 KB5023696/KB5023697 を参照してほしい。

2つのゼロデイを修正

今月の Patch Tuesday では、サイバー攻撃で活発に悪用されている2つのゼロデイ脆弱性が修正された。Microsoft では、公式な修正プログラムが提供されていない状態で公開されている、または、積極的に悪用されている脆弱性を、ゼロデイとして分類している。

今日のアップデートで修正された、積極的に悪用されている2つのゼロデイ脆弱性は、以下の通りである。

CVE-2023-23397:Microsoft Outlook の特権昇格の脆弱性

特別に細工された電子メールにより、ターゲットのデバイスをリモート URL に接続させ、Windows アカウントの Net-NTLMv2 ハッシュを送信させる、Microsoft Outlook の特権昇格バグを修正した。

Microsoft のアドバイザリには、「外部の攻撃者は、特別に細工された電子メールを送信することで、攻撃者の制御する外部の UNC ロケーションに、被害者を接続させることが可能となる。被害者の Net-NTLMv2 ハッシュが攻撃者に漏洩することで、それを別のサービスに中継する攻撃者は、被害者としての認証を確立できる」と記されている。

メールサーバによる取得/処理がおこなされる際に、この脆弱性が自動的にトリガーされるため、プレビューペインで読まれる前に影響が生じると、Microsoft は警告している。

BleepingComputer が確認した非公開の脅威分析レポートで Microsoft は、このOutlook の脆弱性は、国家に支援されるロシアのハッキング・グループ STRONTIUM により悪用されたと述べている。この脆弱性の悪用に成功した攻撃者は、ターゲットの NTLMハッシュを収集した後に被害者のネットワークに侵入し、特定アカウントの電子メールを盗み出したという。

なお、この脆弱性は、CERT-UA/Microsoft Incident/Microsoft Threat Intelligence (MSTI) により開示された。

CVE-2023-24880:Windows SmartScreen のセキュリティ機能バイパスの脆弱性

マイクロソフトは、Windows SmartScreen のゼロデイ脆弱性を積極的に悪用し、Windows Mark of the Web (MoTW) セキュリティ警告を回避する、実行ファイルの作成に使用できる脆弱性を修正した。

Microsoft のアドバイザリには、「攻撃者は、Mark of the Web (MoTW) の防御を回避する、悪意のあるファイルを作成することが可能となる。その結果として、MoTW タグに依存する Microsoft Office の Protected View などのセキュリティ機能の、整合性と可用性が限定的に失われる」と記されている。

この脆弱性は、Google TAG が発見したものであり、Magniber ランサムウェアによる悪用が検出されている。この脆弱性を分析した Google TAG は、2022年12月にMicrosoft が修正した CVE-2022-44698 のゼロデイをバイパスするために、Magniber が悪用しているものだと判断した。

この脆弱性 CVE-2022-44698 を悪用する脅威アクターは、不正な署名の付いたスタンドアロンの JavaScript (.JS) ファイルを利用している。この欠陥により、Windows SmartScreen がエラーを発生させ、MoTW 警告が回避されていた。

2022年12月に Microsoft が CVE-2022-44698 を修正した後に、この修正のバイパスを試みる Magniber の操作が、MSI ファイル内の不正な authenticode 署名を使用する方式に切り替わっていることを、Google が発見した。

Google の説明によると、Microsoft がバグの根本原因を修正せずに、最初に報告された JavaScript ファイルの不正使用のみを修正したことで、このバイパスが発生したとされる。

Microsoft によると、この脆弱性は、Google の Threat Analysis Group である Benoît Sevens と Vlad Stolyarov および、Microsoft の Bill Demirkapi により開示されたという。

他社の最近の更新情報

2023年3月にアップデートを公開したベンダーは、以下の通りである。

  • Apple:macOS 10.4.8 用の GarageBand のセキュリティ・アップデートをリリース。
  • Cisco:複数の製品のセキュリティ・アップデートをリリース。
  • Google:Android 2023年3月版/ChromeOS/Google Chromeのセキュリティ・アップデートをリリース。
  • Fortinet:攻撃で積極的に悪用されている FortiOS に対するセキュリティ・アップデートを公開。
  • SAP:2023年3月のパッチデー・アップデートを公開。
  • Veeam:Veeam Backup & Replication (VBR) の RCE の脆弱性に対するセキュリティ・アップデートをリリース。

なお、Microsoft がリリースした March 2023 Patch Tuesday の完全なレポートは、ココで参照できある。

Microsoft の 2023-3 月例アップデートでは、2件のゼロデイと83件の脆弱性への対応が行われました。そして、2件のゼロデイのうちの Outlook の特権昇格の脆弱性 CVE-2023-23397 ですが、ちょっと厄介な問題のようであり続報が出ています。このブログでも追いかけてきますので、気に留めておいてください。なお、最近の Patch Tuesday は、以下のとおりです。

2023-2 月例アップデートは3件のゼロデイ
2023-1 月例アップデートは1件のゼロデイ
2022-12 月例アップデートは2件のゼロデイ