Microsoft 2023-4 月例アップデートは1件のゼロデイと 97件の脆弱性に対応

Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws

2023/04/11 BleepingComputer — 今日は、Microsoft の April 2023 Patch Tuesday だ。新たに公表されたセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性1件を含む、合計で 97件の欠陥が修正された。その中でも、7件の脆弱性はリモートコード実行を可能にする Critical に分類され、新たに修正された脆弱性として、最も深刻なものとなっている。


各脆弱性のカテゴリーにおけるバグ数は以下の通りである:

  • 20件:特権の昇格の脆弱性
  • 8件:セキュリティ機能回避の脆弱性
  • 45件:リモートコード実行の脆弱性
  • 10件:情報漏洩の脆弱性
  • 9件:サービス拒否の脆弱性
  • 6件:スプーフィング脆弱性

このリストには、4月6日に修正された 17件の Microsoft Edge の脆弱性は含まれていない。

今日、リリースされたセキュリティ以外の更新プログラムの詳細については、新しいWindows 11 KB5025239 累積更新プログラム、および、Windows 10 KB5025221/KB5025229 更新プログラムに関する記事を確認してほしい。

修正されたゼロデイは1件

今月のPatch Tuesdayでは、攻撃で活発に悪用されているゼロデイ脆弱性1件を修正しました。

Microsoft では、公式な修正プログラムが提供されていない状態で、公に公開されている脆弱性および、積極的に悪用されている脆弱性を、ゼロデイと分類している。

今日の更新プログラムで、アクティブに悪用されるゼロデイ脆弱性と評価されるものは、以下の通りである:

CVE-2023-28252:Windows Common Log File System Driver の特権の昇格の脆弱性

Microsoft は、Windows の CLFS ドライバに存在する、特権昇格の脆弱性を修正し、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を得ることができる」と述べている。

Microsoft によると、この脆弱性は Mandiant の Genwei Jiang と、DBAPPSecurity WeBin Lab の Quan Jin により発見されたという。しかし Kaspersky は、Nokoyawa ランサムウェア攻撃での悪用を確認し、脆弱性 CVE-2023-28252 も発見し、Microsoftに報告したと述べている。

ゼロデイ以外の脆弱性としては、Microsoft Office/Word/Publisher のリモートコード実行の脆弱性も修正された。これらの脆弱性の悪用に成功した攻撃者は、悪意の文書を開くだけでコード実行を可能にするという。これらの脆弱性は、CVE-2023-28285/CVE-2023-28295/CVE-2023-28287/CVE-2023-28311 として追跡されている。

この種の脆弱性は、フィッシング・キャンペーンで利用さやすい。脅威アクターたちは、マルウェアの配布キャンペーンのために、これらの脆弱性を悪用する方法を発見しようとする。

そのため、Microsoft Office ユーザーに対しては、今日のセキュリティ更新プログラムを、可能な限り早急にインストールすることを強く推奨する。

他社による最新アップデート

その他に、2023年4月にアップデートを公開したベンダーは以下の通りである:

  • Apple:iOS/macOS で活発に悪用されている2つのゼロデイ脆弱性に対する、セキュリティ・アップデートをリリース。
  • Cisco:複数の製品に対するセキュリティ・アップデートをリリース。
  • Fortinet:複数の製品に対するセキュリティ・アップデートをリリース。
  • Google:Android 2023年4月版と、Google Chrome に対して、セキュリティ・アップデートをリリース。
  • SAP:April 2023 Patch Day を公開。

Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。

Microsoft の 2023-4 月例アップデートでは、1件のゼロデイと97件の脆弱性への対応が行われました。そして、この脆弱性 CVE-2023-28252 ですが、Nokoyawa ランサムウェアによる悪用が確認されています。続報を追いかけてきますので、気に留めておいてください。なお、最近の Patch Tuesday は、以下のとおりです。

2023-3 月例アップデートは2件のゼロデイ
2023-2 月例アップデートは3件のゼロデイ
2023-1 月例アップデートは1件のゼロデイ