Microsoft 2023-08 月例アップデート:2件のゼロデイと 87件の脆弱性に対応

Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws

2023/08/08 BleepingComputer −−− 今日は Microsoft の August 2023 Patch Tuesday であり、積極的に悪用される脆弱性2件と、リモート・コード実行の脆弱性 23件を含む、87件の脆弱性に対するセキュリティ更新プログラムが提供された。23件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの6件のみである。

各脆弱性カテゴリーにおけるバグの数を以下に示す:

  • 18 件:特権昇格の脆弱性
  • 3 件:セキュリティ機能バイパス脆弱性
  • 23 件:リモート・コード実行の脆弱性
  • 10 件:情報漏洩の脆弱性
  • 8 件:サービス拒否の脆弱性
  • 12 件:なりすましの脆弱性

なお、これらの件数には、8月の初めに修正された Microsoft Edge (Chromium) の脆弱性 12件は含まれていない。

積極的に悪用されている2件の脆弱性

今月の Patch Tuesday では、2件のゼロデイ脆弱性が修正されたが、いずれも攻撃で悪用され、うち1件は公表されている。Microsoft では、脆弱性が公開されている場合、または、積極的に悪用されているが公式修正プログラムが提供されていない場合に、その脆弱性をゼロデイと分類している。

今日の更新プログラムにおいて、積極的に悪用されているゼロデイ脆弱性は以下の2件である:

ADV230003 – Microsoft Office Defense in Depth 更新プログラム (一般公開)

Microsoft は、Office Defense in Depth アップデートをリリースし、以前に緩和されて積極的に悪用されている CVE-2023-36884 のリモート・コード実行の脆弱性のパッチ・バイパスを修正した。

CVE-2023-36884 の悪用に成功した脅威アクターは、細工された Microsoft Office ドキュメントを作成して MoTW (Mark of the Web) セキュリティ機能をバイパスし、セキュリティ警告を表示せずにファイルを開いてリモートでコードを実行できる。

この脆弱性は、攻撃において Industrial Spy ランサムウェアを展開したことで知られる、ハッキング・グループ RomCom により積極的に悪用された。Industrial Spy ランサムウェアは、その後に Underground という名前に改名し、被害者への恐喝に使用され続けている。

この脆弱性は、Volexity の Paul Rascagneres と Tom Lancaster により発見された。

CVE-2023-38180 – .NET/Visual Studio におけるサービス運用妨害の脆弱性

Microsoft は、.NET アプリケーションと Visual Studio に DDoS 攻撃を引き起こす可能性のある、積極的に悪用される脆弱性を修正した。

残念ながら、同社は、この脆弱性が攻撃で悪用された方式については、追加的な詳細を共有しておらず、この脆弱性を発見した人物も明らかにされていない。

他社における最近のアップデート

2023年8月にアップデートやアドバイザリをリリースした、その他のベンダーは以下の通りである:

  • Adobe :Adobe Acrobat/Reader/Commerce/Dimension のセキュリティ・アップデートをリリース。
  • AMD新たなハードウェア攻撃や脆弱性に対する多数のセキュリティ更新プログラムを 8月8日にリリース。
  • Cisco:Cisco Secure Web Appliance/AnyConnect のセキュリティ・アップデートをリリース。
  • Google:Android August 2023 アップデートをリリースし、積極的に悪用される脆弱性を修正。
  • Ivanti:MobileIron Core に影響するリモートからの認証なし API アクセスの脆弱性を修正。
  • Microsoft:Power Platform Custom Connectors の不具合を修正。
  • MOVEit:クリティカルな SQL インジェクションの脆弱性と、深刻度の低い脆弱性 2 件を修正したセキュリティ・アップデートをリリース。
  • PaperCut:CVE-2023-39143 として追跡されている深刻な脆弱性を修正。
  • SAP:2023年8月の Patch Day アップデートをリリース。
  • VMware:VMware Horizon Server における多数の脆弱性を修正。
  • Zoom:15件の脆弱性を修正。

また CISA/NSA/FBI/ Five Eyes セキュリティ当局は、2022年を通じて最も悪用された 12件の脆弱性のリストを掲載した共同レポートを公開した。

Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。

Office Defense in Depth の CVE-2023-36884 を悪用する、ハッキング・グループ RomCom ですが、2023/07/10 の「NATO 首脳会議を標的にした攻撃:RomCom によるマルウェア配布が確認された」にあるように、NATO などに対して最大級の打撃を与えるために組織化されているようです。この攻撃と CVE-2023-36884 の関連性は明らかではありませんが、Microsoft 対 RomCom という構図があるのでしょう。よろしければ、RomCom で検索と、Anonymous Sudan で検索を、ご利用ください。