Microsoft 2023-11 月例アップデート:5件のゼロデイと 58件の脆弱性に対応

Microsoft November 2023 Patch Tuesday fixes 5 zero-days, 58 flaws

2023/11/14 BleepingComputer —

今日は Microsoft の November 2023 Patch Tuesday であり、合計で58件の脆弱性と、5件のゼロデイ対するセキュリティ更新プログラムが提供されている。

今月は、14件のリモートコード実行 (RCE) の脆弱性が修正されたが、Critical と評価されたのは1件のみである。また、今日の Critical は、Azure の情報漏えいのバグ/Windows の Internet Connection Sharing (ICS) の RCE/SYSTEM権限 でホスト上のプログラム実行を許す Hyper-V エスケープの3件がある。


各脆弱性カテゴリにおける、脆弱性の数は以下の通りである:

  • 16 件:特権昇格の脆弱性
  • 6 件:セキュリティ機能バイパス脆弱性
  • 15 件:リモート・コード実行の脆弱性
  • 6 件:情報漏えいの脆弱性
  • 5 件:サービス拒否の脆弱性
  • 11 件:スプーフィング脆弱性

なお、合計で 58件の脆弱性には、今月の初めにリリースされた5件の Mariner セキュリティ更新プログラムと、20件の Microsoft Edge セキュリティ更新プログラムは含まれていない。本日にリリースされたセキュリティ更新プログラム以外としては、Windows 11 KB5032190/Windows 10 KB5032189 累積更新プログラムがある。

修正された5つのゼロデイ

11月の Patch Tuesday では、5件のゼロデイ脆弱性が修正された。そのうちの3件は攻撃で悪用され、また3件は一般に情報が公開されている。Microsoft のゼロデイ分類は、一般に公開されている脆弱性および、積極的に悪用されているが公式な修正プログラムが提供されていない脆弱性を対象としている。

CVE-2023-36036  – Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性:Microsoft は、積極的に悪用される Windows Cloud Files Mini Filter に存在する特権昇格バグを修正した。この欠陥が攻撃で悪用された方法および、悪用した脅威アクターについては不明である。この不具合は、Microsoft Threat Intelligence Microsoft Security Response Center により内部的に発見された。

CVE-2023-36033 – Windows DWM コアライブラリの特権昇格の脆弱性:Microsoft は、積極的に悪用/公開されている Windows DWM コア・ライブラリの脆弱性を修正した。この脆弱性の悪用に成功した攻撃者は、SYSTEM の特権を得ることができると説明されている。Microsoft によると、この脆弱性陥は DBAPPSecurity WeBin Lab の Quan Jin(@jq0904) により発見されたが、攻撃での悪用の方法について詳細は共有されていない。

CVE-2023-36025 – Windows SmartScreen セキュリティ機能バイパスの脆弱性:Microsoft は、悪意のインターネット・ショートカットが、セキュリティのチェックと警告をバイパスするという、積極的に悪用されている Windows SmartScreen の脆弱性を修正した。この脆弱性の悪用により、Windows Defender SmartScreen のチェックと関連するプロンプトの、バイパスが許されてしまうという。Microsoft は、「特別に細工されたインターネット・ショートカット (.URL) または、そのファイルを指すハイパーリンクをクリックしたユーザーは、攻撃者に侵入される」と指摘している。同社によると、この脆弱性を発見したのは、Will Metcalf (Splunk)/Microsoft Threat Intelligence/Microsoft Office Product Group Security Team とのことだ。BleepingComputer は Splunk に問い合わせ、この脆弱性の悪用を確認した。

Microsoft によると、別の2件のゼロデイ脆弱性である、”CVE-2023-36413:Microsoft Office Security Feature Bypass Vulnerability” と “CVE-2023-36038 — ASP.NET Core Denial of Service Vulnerability” も修正されたとのことだ。なお、これらの脆弱性は、攻撃で積極的に悪用されることはなかったという。

他社の最近のアップデート

2023年11月にアップデート/アドバイザリをリリースした、他のベンダーは以下の通りである:

  • Cisco:Cisco ASA などの、各種の製品のセキュリティ・アップデートをリリース。
  • Citrix:脆弱性 “Citrix Bleed” への対応。ランサムウェアなどによる悪用を報告。
  • Google:Android の 2023年11月のセキュリティ・アップデートをリリース。
  • Juniper:4件がリモートコード実行 (RCE) に対応。連鎖による攻撃を確認。
  • QNAP:2件の深刻なコマンド・インジェクションの脆弱性に対応。
  • SAP:2023 年 11 月の Patch Day アップデートをリリース。
  • SysAid:ゼロデイ脆弱性のセキュリティ更新プログラムをリリース。Clop が悪用。

2023年11月の Patch Tuesday のフルリストは、ココで参照できる。

Microsoft の Patch Tuesday 11月がリリースされました。今月の脆弱性の件数は、わりと少ないと、お隣のキュレーション・チームが喜んでいました。なお、ゼロデイのうちの CVE-2023-36036/CVE-2023-36025/CVE-2023-36033 は、11月14日付で CISA KEV に登録されています。