Microsoft 2023-07 月例アップデート:6件のゼロデイと 132件の脆弱性に対応

Microsoft July 2023 Patch Tuesday warns of 6 zero-days, 132 flaws

2023/07/11 BleepingComputer — 今日は Microsoft の July 2023 Patch Tuesday であり、積極的に悪用される脆弱性6件と、リモート・コード実行の脆弱性 37件を含む、132件の欠陥に対するセキュリティ更新プログラムが提供された。37件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの9件のみである。しかし、それたの RCE の欠陥のうちの1つは、依然としてパッチが適用されておらず、攻撃で積極的に悪用されていると、多くのサイバー・セキュリティ企業が指摘している。


各脆弱性カテゴリーにおけるバグの数を以下に示す:

  • 33 件:特権昇格の脆弱性
  • 13 件:セキュリティ機能バイパス脆弱性
  • 37 件:リモート・コード実行の脆弱性
  • 19 件:情報漏洩の脆弱性
  • 22 件:サービス拒否の脆弱性
  • 7 件:なりすましの脆弱性

なお、現時点では7月の Edge の脆弱性を、Microsoft は修正していない。

今日にリリースされた累積更新プログラムなどについては、Windows 11 用の KB5028185 累積更新プログラムおよび、Windows 10 用の KB5028168/KB5028166 更新プログラムに関する専用記事を参照してほしい。

積極的に悪用されている6件の脆弱性

今月の Patch Tuesday では、6件のゼロデイ脆弱性が修正されたが、その全てが攻撃で悪用され、うち1件は公表されている。Microsoft では、脆弱性が公開されている場合、または、積極的に悪用されているが公式修正プログラムが提供されていない場合に、その脆弱性をゼロデイと分類している。

今日の更新プログラムにおいて、積極的に悪用されているゼロデイ脆弱性は以下の6件である:

CVE-2023-32046:Windows MSHTML プラットフォームの特権昇格の脆弱性

電子メールで悪用され、また、悪意の Web サイトの特別に細工されたファイルを開くことで悪用される、Windows MSHTML の積極的に悪用されている特権昇格の脆弱性が修正された。

攻撃に成功した攻撃者は、影響を受けるアプリケーションを実行しているユーザーの権限を得ることになる。Microsoft によると、この欠陥は Microsoft Threat Intelligence Center の内部調査により発見されたものだという。

CVE-2023-32049:Windows SmartScreen セキュリティ機能バイパスの脆弱性

この脆弱性の悪用に成功した脅威アクターは、インターネットからファイルをダウンロードして開く際に、Open File – Security Warning プロンプトが表示されないようできる。

Microsoft によると、この欠陥は Microsoft Threat Intelligence Center の内部調査により発見されたものだという。

CVE-2023-36874:Windows エラー報告サービスにおける特権昇格の脆弱性

この積極的に悪用される特権昇格の脆弱性により、脅威アクターは Windows デバイス上で管理者権限を得ることが可能となる。

Microsoft は、「前提条件として、攻撃者は標的マシンへのローカル・アクセス権を持っている必要がある。その一方で、標的となるユーザーは、通常のユーザーがデフォルトで持っている制限された権限で、マシン上にフォルダやパフォーマンス・トレースを作成できる必要がある」と指摘している。

この脆弱性は、Googles Threat Analysis Group (TAG) の Vlad Stolyarov と Maddie Stone により発見されたと、Microsoft は述べている。

CVE-2023-36884:Office および Windows の HTML リモート・コード実行の脆弱性

Microsoft は、一般に公開されているがパッチが適用されていない、Microsoft Office および Windows のゼロデイに関するガイダンスを発表した。

Microsoft は脆弱性 CVE-2023-36884 のアドバイザリにおいて、「Windows および Office に影響を及ぼす、リモート・コード実行の脆弱性に関する一連の報告を調査している。特別に細工された Microsoft Office 文書を使用して、これらの脆弱性を悪用しようとする標的型攻撃を認識している」と述べている。

攻撃者は、被害者のコンテキストでリモート・コード実行を可能にする、特別に細工された Microsoft Office 文書を作成できる。だたし攻撃者は、被害者が悪意のあるファイルを開くよう説得する必要がありまる。

Microsoft は、「この調査が完了した時点で、顧客を保護するための適切な措置を講じる。そこに含まれるものとして、顧客のニーズに応じて、毎月のリリース・プロセスを介したセキュリティ・アップデートの提供や、サイクル外のセキュリティ・アップデートの提供が含まれる」と述べている。

この脆弱性が、Industrial Spy ランサムウェアを展開したことで知られる、RomComハッキング・グループにより悪用されていることを、Microsoft は共有した。最近になって、このランサムウェアは、 Underground という名前に改名し、被害者への恐喝を続けている。

BleepignComputer は、Industrial Spy のランサムウェアのメモに含まれるものとして、キューバ・ギャングに関連する電子メール・アドレス/TOX チャット ID/偽リンクなどを指摘している。この関連性は、後に Palo Alto と CISA の報告で裏付けされている。

現時点においては、この脆弱性に対するセキュリティ・アップデートは提供されていない。ただし Microsoft は、Defender for Office のユーザーおよび、”Office アプリケーションが子プロセスを作成しないようにブロックする” という、攻撃対象領域削減ルールを使用しているユーザーは、この脆弱性を悪用しようとする添付ファイルから保護されるとしている。

これらの保護機能を使用していない場合は、以下のアプリケーション名を、HKEY_LOCAL_MACHINE SOFTWARE PICOLIES PICOLIES MicrosoftInternet ExplorerMainFeatureControl PICOLIES FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION レジストリ・キーに対して、REG_DWORD 型の値 (data 1) として追加する 。

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • PowerPoint.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

この欠陥は、Microsoft Threat Intelligence および、Google Threat Analysis Group (TAG) の Vlad Stolyarov/Clement Lecigne/Bahare Sabouri、Volexity の Paul Rascagneres/Tom Lancaster、Microsoft Office Product Group Security Team により公表された。

ADV230001:悪意を持って使用される Microsoft 署名済みドライバに関するガイダンス。

Microsoft は、Windows ポリシーの抜け穴を悪用して、悪意のカーネルモード・ドライバをインストールした、コード署名証明書と開発者アカウントを取り消した。

今日、Cisco Talos は、この抜け穴を悪用して悪意のドライバーに署名し、Chrome/Edge/Firefox などのを含むブラウザーの、トラフィック傍受の方法に関する2つのレポートを発表した。

Microsoft は、一連の開発者アカウントを停止し、悪用された証明書を取り消したと説明する勧告を発表した。

同社は、「Windows Hardware Developer Program により認証されたドライバーが、悪意のある事後攻撃に使用されていることを確認した。これらの攻撃では、ドライバーを使用する攻撃者が、侵害されたシステムの管理者権限を事前に獲得していた」と説明している。

2023年2月9日に Sophos から通知を受け、調査が実施されたという。その後に、Trend Micro と Cisco から、追加の詳細を含むレポートが提供された。この調査により、Microsoft Partner Center (MPC) の複数の開発者アカウントが、Microsoft の署名を得るために悪意のドライバーの提出に関与していたことが、明らかになったという。

CVE-2023-35311:Microsoft Outlook セキュリティ機能バイパスの脆弱性

セキュリティ警告をバイパスし、プレビューペインで動作する、Microsoft Outlook で積極的に悪用されるゼロデイ脆弱性が修正された。

Microsoft は、「攻撃者は、Outlook のセキュリティ通知プロンプトをバイパスすることができる」と説明している。

この脆弱性の公表者は匿名を希望している。

他社の最近のアップデート

2023年7月にアップデートや勧告をリリースした他のベンダーは以下の通りである:

  • AMD:Windows 用の Adrenalin 23.7.1 WHQL ドライバーをリリース。
  • Apple:積極的に悪用される WebKit の脆弱性を修正する、Rapid Security Response (RSR) アップデートをリリースした。しかし、このアップデートで変更されたユーザー・エージェント・マッチングを使用しているサイトが破壊されたことで、Apple は直ちにアップデートを撤回した。
  • Cisco:Cisco DUO/Webex/Secure Email Gateway/Cisco Nexus 9000 シリーズ・ ファブリック・スイッチなどのセキュリティ・アップデートをリリースした。
  • Google:積極的に悪用されている脆弱性を修正する、Android 2023日7月アップデートをリリースした。
  • Linux:脆弱性 StackRot は特権への昇格を可能にする。
  • Microsoft:7月の Windows Subsystem for Android アップデートをリリースした。
  • MOVEit:クリティカルな SQL インジェクションの脆弱性を修正する、セキュリティ・アップデートをリリースした。
  • SAP:20237月の Patch Day アップデートをリリースした。
  • VMware:認証バイパスの脆弱性を修正する VMware SD-WAN アップデートをリリースした。

Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。

Microsoft の 7月の Patch Tuesday では、132件もの脆弱性にパッチが当てられ、そレに関するレポートも大規模であり、お隣のキュレーション・チームは大変な思いをしていたようです。それだけではなく、積極的に悪用されている脆弱性が6件もあったことで、この記事もかなりの長編となっています。よろしければ、以下の関連記事も、ご参照ください。

2023-6 月例:78件の脆弱性と 38件の RCE バグに対応
2023-5 月例:3件のゼロデイと 38件の脆弱性に対応
2023-4 月例:1件のゼロデイと 97件の脆弱性に対応
2023-3 月例:2件のゼロデイと 83件の脆弱性に対応