Microsoft 2023-5 月例アップデートは3件のゼロデイと 38件の脆弱性に対応

Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws

2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性3件と、合計で 38件の不具合が修正された。このうち、Critical と評価された6つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。

各脆弱性のカテゴリーごとの件数は以下の通りである。

  • 8 件:特権昇格の脆弱性
  • 4 件:セキュリティ機能回避の脆弱性
  • 12 件:リモート・コード実行の脆弱性
  • 8 件:情報開示の脆弱性
  • 5 件:サービス拒否の脆弱性
  • 1 件:スプーフィングの脆弱性

今回の Patch Tuesday は、2023年5月5日に修正された Microsoft Edge の脆弱性 11件を除けば、修正された脆弱性は 38件と、対処された脆弱性が最も少ない部類に入る。

3つのゼロデイを修正

今月の Patch Tuesday では、サイバー攻撃で活発に悪用されている3つのゼロデイ脆弱性が修正された。このうち2つは攻撃で悪用されており、もう1つは公表されているものだ。Microsoft では、公式な修正プログラムが提供されていない状態で公開されている、または、積極的に悪用されている脆弱性を、ゼロデイとして分類している。

今日のアップデートで修正された、積極的に悪用されている3つのゼロデイ脆弱性は、以下の通りである。

CVE-2023-29336 – Win32k における権限昇格の脆弱性

Microsoftは、Win32k Kernel ドライバにおける権限昇格の脆弱性を修正した。この脆弱性の悪用に成功した攻撃者は、Windows の最高ユーザー権限レベルである SYSTEM に権限を得る可能性がある。

同社はこのバグが活発に悪用されていることを報告しているが、どのように悪用されたのかの詳細は不明である。

Microsoft によると、この脆弱性の発見者は、Avast の Jan Vojtešek/Milánek/Luigino Camastra とのことだ。

CVE-2023-24932 – セキュア・ブートにおけるセキュリティ・バイパスの脆弱性

Microsoft は、脅威アクターが BlackLotus UEFI Bootkit のインストールに悪用した、Secure Boot バイパスの不具合を修正した。

同社のアドバイザリでは、「この脆弱性の悪用に成功すると、ターゲットのデバイスへの物理的アクセス権、あるいは管理者権限を持つ攻撃者が、影響を受けるブート・ポリシーをインストールできるようになる」と説明されている。

UEFI Bootkit とは、システム・ファームウェアに仕込まれたマルウェアのことであり、マルウェアが起動シーケンスのイニシャルでロードするため、OS 内で動作するセキュリティ・ソフトウェアには認識されない。

2022年10月以降から、脅威アクターがハッカー・フォーラムで BlackLotus Bootkit を販売し始め、その機能を進化させ続けている。その一例として、3月に ESET は、改良されたマルウェアが完全にパッチが適用された Windows 11 OS でも、Secure Boot がバイパスされることを報告している。

また Microsoft は先月に、BlackLotus UEFI Bootkit 攻撃の検出方法に関するガイダンスを発表した。この Bootkit で悪用される脆弱性は、今月の Patch Tuesday で修正されたが、デフォルトでは有効になっていない。

Microsoft は、「このセキュリティ・アップデートは、Windows Boot Manager をアップデートすることで脆弱性に対処しているが、デフォルトでは有効になっていない。現時点では、脆弱性を緩和するための追加の手順が必要だ」と述べている。

それぞれの環境への影響を判断するための手順については、以下を参照してほしい: KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932

この脆弱性は、以前に修正された CVE-2022-21894 の脆弱性をバイパスするものだと Microsoft は述べている。

また同社は、積極的に悪用されなかった公表されたゼロデイ脆弱性 1件のセキュリティ・アップデートを公開している。

CVE-2023-29325 – Windows OLE のリモート・コード実行の脆弱性

Microsoft は、特別に細工されたEメールを介して悪用される可能性のある、Microsoft Outlook の Windows OLE の脆弱性を修正した。この脆弱性は、Vuln Labs の Will Dormann により発見された。

Microsoft は、「Eメール攻撃のシナリオでは、攻撃者は、被害者に特別に細工されたメールを送信することで、この脆弱性の悪用が可能になる。この脆弱性の悪用は、影響を受ける Microsoft Outlook ソフトウェアで、被害者が細工されたメールを開くことで達成される。また、被害者の Outlook アプリケーションが、細工されたメールのプレビューを表示することでも達成される。悪用に成功した攻撃者は、被害者のマシンでリモート・コードを実行する可能性がある」と説明している。

しかし、この脆弱性を悪用するには、競合条件を勝ち抜き、追加のアクションを起こす必要がある。Microsoft は、全てのメッセージをプレーン・テキスト形式で読むことで、この脆弱性を軽減できるとしている。

他社による最新アップデート

その他に、2023年5月にアップデートを公開したベンダーは以下の通りである:

  • Apple:Beats headphone に対するセキュリティ・アップデートをリリース。
  • Cisco:Cisco iOS のセキュリティ・アップデートをリリースし、Cisco SPA112 2 ポートフォン・アダプタにおける未対応の RCE 脆弱性を公表。
  • CISA:Illumina DNA シーケンサーにおける深刻な脆弱性があると警告。
  • Google:Android 2023年5月版をリリースし、携帯電話にスパイウェアをインストールするために悪用される脆弱性に対応。
  • SAP:May 2023 Patch Day を公開。

Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。

今月の Patch Day は件数が少なく、その分だけ作業量が減ったと、お隣のキュレーション・チームが喜んでいました。毎月、この日は、朝の6時前から準備を初めて、3人で手分けして情報を整理し、10時にはレポートを納品しています。いつも頑張っているので、たまには、こんな月があっても良いですよね。ただ、3件のゼロデイは、それぞれが厄介そうな問題であり、ちょっと不安です。とくに、3つ目の Outlook の脆弱性は、フィッシングに悪用されそうです。

2023-4 月例:1件のゼロデイと 97件の脆弱性に対応
2023-3 月例:2件のゼロデイと 83件の脆弱性に対応
2023-2 月例:3件のゼロデイと 77件の脆弱性に対応