Microsoft 2023-10 月例アップデート:3件のゼロデイと 104件の脆弱性に対応

Microsoft October 2023 Patch Tuesday fixes 3 zero-days, 104 flaws

2023/10/10 BleepingComputer — 今日は Microsoft の October 2023 Patch Tuesday であり、104件の欠陥に対するセキュリティ更新プログラムが提供されたが、その中には3件の積極的に悪用されるゼロデイ脆弱性も含まれる。また、45件のリモート・コード実行 (RCE) のバグが修正されたが、その中の 12件の脆弱性に対してのみ、Microsoft は Critical と評価している。


各脆弱性カテゴリーにおける、バグ件数は以下の通りである:

  • 26件:権限昇格の脆弱性
  • 3件:セキュリティ機能バイパス脆弱性
  • 45件:リモート・コード実行の脆弱性
  • 12件:情報漏えいの脆弱性
  • 17件:サービス拒否の脆弱性
  • 1件:スプーフィング脆弱性

今回の合計で 104件の脆弱性には、Chromium の脆弱性は含まれない。具体的に言うと、10月3日にGoogleにより修正され、Microsoft Edge にも影響を及ぼしていた、脆弱性 CVE-2023-5346 は除外されている。今日にリリースされた非セキュリティ更新プログラムの詳細については、新しい累積更新プログラムである Windows 11 KB5031354/Windows 10 KB5031356 に関する記事を参照してほしい。

悪用が活発な3件のゼロデイ脆弱性

10月の Patch Tuesday では、3件のゼロデイ脆弱性が修正され、そのすべてが攻撃で悪用され、そのうち2件は公表されている。Microsoft では、脆弱性が公開されている場合において、また、積極的に悪用されているが公式な修正プログラムが提供されていない場合において、その脆弱性をゼロデイと分類している。

今日のアップデートのうち、積極的に悪用されているゼロデイ脆弱性は、以下の3件である:

CVE-2023-41763:Skype for Business の特権昇格の脆弱性

Microsoft は、積極的に悪用されている Skype for Business の特権昇格の脆弱性を修正した。

同社は、「この脆弱性の悪用に成功した攻撃者は、機密情報 (Confidentiality) の閲覧が可能になるが、影響を受けたコンポーネント内の、すべてのリソースが攻撃者に公開されるわけではない。また、開示された情報への変更や、リソースへのアクセス制限などは生じないため、完全性/可用性に影響は及ばない」と述べている。

この脆弱性は Dr. Florian Hauser (@frycos) により発見されたものであり、2022年9月の時点で Microsoft は修正を拒否していたと、彼は BleepingComputer に語っている。

Hauser は、「この脆弱性の悪用に成功した攻撃者は、ネットワーク内部のシステムにアクセスできる。一般的に Skype は、パブリック・インターネット上に公開されているため、インターネット境界の突破が生じ得る」と BleepingComputer に述べている。

CVE-2023-36563:Microsoft WordPad 情報漏洩の脆弱性

Microsoft は、WordPad でドキュメントを開く際に、NTLM ハッシュの窃取が可能になるという、積極的に悪用されている脆弱性を修正した。

同社は、「この脆弱性を悪用する前提として、攻撃者はシステムにログオンしている必要性がある。その後に攻撃者は、この脆弱性を悪用するための、特別に細工されたアプリケーションを実行し、影響を受けるシステムを制御する。さらに攻撃者は、ローカル・ユーザーを騙して、悪意のファイルを開かせる。一般的には、電子メールやインスタント・メッセージでユーザーを介して、悪意のリンクをクリックさせ、特別に細工されたファイルを開かせる」と説明している。

このような攻撃で接種された NTLM ハッシュは、標的アカウントへの不正アクセスを得るためにクラックされ、また、NTLM リレー攻撃で悪用される。

この欠陥は、Microsoft Threat Intelligence グループにより発見されたものであり、先月に修正された CVE-2023-36761 の派生型と思われる。

CVE-2023-44487:HTTP/2 Rapid Reset Attack

Microsoft は、”HTTP/2 Rapid Reset” と呼ばれる、新たなゼロデイ DDoS 攻撃手法に対する緩和策をリリースした。

この攻撃は、HTTP/2 のストリーム・キャンセル機能を悪用するものだ。具体的には、リクエストを継続的に送信/キャンセルすることで、ターゲットとなるサーバ/プリケーションを圧倒し、DoS 状態を引き起こす。

この機能は HTTP/2 標準に組み込まれているため、レート制限やプロトコル・ブロック以外に、実装が可能な修正は存在しない。Microsoft アドバイザリにおける緩和策は、Web サーバ上で HTTP/2 プロトコルを無効化することである。しかし同社は、HTTP/2 Rapid Reset に関する専門記事も提供している。

この欠陥は、Cloudflare/Amazon/Google による、今日の協調的な情報公開で明らかにされた。Microsoft によると、脆弱性 CVE-2023-41763/CVE-2023-36563 が公開されたとのことだ。

他社の最近のアップデート

2023年10月にアップデートやアドバイザリをリリースした、他のベンダーは以下の通りである:

  • Apple:iOS 17.0.3 のリリースにより、2件のゼロデイを修正。
  • Arm:攻撃で悪用される、Mali GPU における新たな脆弱性を公開。
  • Cisco:Emergency Responder のハードコードされた root 認証情報などの、各種製品におけるセキュリティ・アップデートをリリース。
  • Citrix:Citrix NetScaler ADC/Gateway の脆弱性に対する修正プログラムを公開し、機密情報の漏洩に対処 。
  • D-Link:DAP-X1860 WiFi 6 Range Extender のゼロデイに関する技術的詳細を公開。
  • Exim:公開された6件のゼロデイのうち、3件にパッチを適用。
  • Google:Android October 2023 セキュリティ・アップデートをリリース。
  • GNOME:キュー・ファイルのダウンロードにより引き起こされる、RCE の欠陥。
  • HTTP/2 Rapid Reset ゼロデイによる DDoS 攻撃。
  • Linux:root 窃取の脆弱性 Looney Tunables の影響。
  • Marvin の攻撃により、RSA の 25年前の復号化の欠陥が復活。
  • Microsoft:Edge と Teams における2件のゼロデイに対する緊急アップデート。
  • SAP:2023年10月のパッチデー・アップデートを公開。
  • AI モデリング・ツール TorchServe:新たな ShellTorch の脆弱性。

2023年10月の Patch Tuesday のフルリストは、ココで参照できる。

この 10月の Patch Tuesday ですが、3件のゼロデイ脆弱性は、いずれも積極的な悪用が観測されているようです。”CVE-2023-44487:HTTP/2 Rapid Reset Attack” についでも、他の記事で DDoS 攻撃が報じられているので、ご注意ください。