Microsoft 2023-6月月例アップデートで 78件の脆弱性と 38件の RCE バグに対応

Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs

2023/06/13 BleepingComputer — 今日は Microsoft 2023年６月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供された。 RCE のバグは 38個修正されたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃／リモート・コード実行／権限昇格などの、６件の不具合である。

各脆弱性カテゴリーの件数は以下の通りである。

17件：特権昇格の脆弱性
3件：セキュリティ機能回避の脆弱性
32件：リモート・コード実行の脆弱性
5件：情報開示の脆弱性
10件：サービス拒否の脆弱性
10件：スプーフィング脆弱性
1件：Edge – Chromiumの脆弱性

2023年6月2日に過去に修正された、Microsoft Edge の脆弱性 16件は、このリストには含まれていない。今回の Patch Tuesday では、ゼロデイ脆弱性や積極的に悪用されるバグの修正がないため、Windows の管理者へのプレッシャーは軽減されている。

注目すべき脆弱性

前述のとおり、今回の Patch Tuesday にはゼロデイ脆弱性が含まれていないが、以下に示すような注目すべき脆弱性がある。

CVE-2023-29357 – Microsoft SharePoint Server における特権昇格の脆弱性

Microsoft SharePoint における、管理者を含むユーザーの特権を、攻撃者に占有させてしまう特権昇格の脆弱性を修正した。

Microsoft のアドバイザリには、「なりすまし JWT 認証トークンにアクセスした攻撃者は、それを使って認証をバイパスするためのネットワーク攻撃を実行し、認証されたユーザーの権限にアクセスすることができる」と記載されている。

Microsoftは、この脆弱性の活発な悪用を報告しているが、その方式については不明だとしている。 Microsoft によると、StarLabs SG の Jang (Nguyễn Tiến Giang) が脆弱性を発見したという。

CVE-2023-32031 – Microsoft Exchange Server のリモート・コード実行の脆弱性

Microsoft Exchange における、認証済みの脅威アクターにリモート・コード実行を許す脆弱性が修正された。

Microsoft のアドバイザリには、「この脆弱性の攻撃者は、リモート／ローカルにおける任意のコード実行により、標的とするサーバのアカウントを攻撃できる。認証されたユーザーとして、攻撃者は、ネットワーク・コールを通じて、サーバ・アカウントのコンテキストを用いて悪意のコードを実行できる」と記載されている。

また、Microsoft Office に関しても、同社は脆弱性を修正した更新プログラムを多数リリースしている。それらの脆弱性の中には、悪意を持って細工した Excel／OneNote ドキュメントを介して、リモート・コード実行を可能にするものもある。

これらの脆弱性は、CVE-2023-33133 (Excel)／CVE-2023-33133 (Excel)／CVE-2023-33137 (Excel)／CVE-2023-33140 (OneNote)／CVE-2023-33131 (Outlook) として追跡されている。 OneNote／Outlook の欠陥に対する攻撃では、悪意のファイルやメールに含まれるリンクを、ユーザーにクリックさせることが前提となる。

他社による最新アップデート

2023年6月にアップデートやアドバイザリーをリリースした、その他のベンダーは以下の通りである。

Cisco：Cisco AnyConnect などのセキュリティ・アップデートを公開。
Fortinet：積極的に悪用されている Fortigate RCE のゼロデイを修正するための、新しい FortiOS ファームウェアを公開。
Google：積極的に悪用されるゼロデイを修正した Google Chrome のセキュリティ・アップデートと、Android June 2023 のアップデートを公開。
MOVEit：Clopランサムウェア・ギャングに積極的に悪用されているゼロデイ脆弱性のセキュリティ・アップデートを公開。その１週間後には、Huntress Labs が発見した、RCE のバグに対する別のアップデートを公開している。
SAP：2023年6月のパッチデー・アップデートを公開。
VMware：CVE-2023-20867 として追跡され、積極的に悪用されるゼロデイを修正する VMware ESXi のアップデートを公開。

Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。

今月は、ゼロデイ脆弱性や積極的に悪用されるバグの修正がないため、Windows の管理者へのプレッシャーは軽減されているとのことです。また、今月の Patch Day は件数は少なかったようですが、作業量が多かったと、お隣のキュレーション・チームが泣いていました。おそらく、同じ CVE に影響を受ける製品の数が多かったのでしょう。７月の Patch Day が、平穏であることを願います。

2023-5 月例：３件のゼロデイと 38件の脆弱性に対応
 2023-4 月例：１件のゼロデイと 97件の脆弱性に対応
 2023-3 月例：２件のゼロデイと 83件の脆弱性に対応

M	T	W	T	F	S	S
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

注目すべき脆弱性

他社による最新アップデート

Share this: