Microsoft 2024-02 月例アップデート:2件のゼロデイと 73件の脆弱性に対応

Microsoft February 2024 Patch Tuesday fixes 2 zero-days, 73 flaws

20234/02/13 BleepingComputer — 今日は Microsoft の February 2023 Patch Tuesday であり、合計で 73件の脆弱性と、2件のゼロデイ対するセキュリティ更新プログラムが提供されている。今月は、サービス拒否/リモート・コード実行/情報漏えい/権限昇格の脆弱性を含む、5つの深刻な脆弱性が修正されている。

各脆弱性カテゴリにおける、脆弱性の数は以下の通りである:

  • 16 件:特権昇格の脆弱性
  • 3 件:セキュリティ機能バイパス脆弱性
  • 30 件:リモート・コード実行の脆弱性
  • 5 件:情報漏えいの脆弱性
  • 9 件:サービス拒否の脆弱性
  • 10 件:スプーフィング脆弱性

なお、合計で 78件の脆弱性には、2月8日にリリースされた1件の Mariner セキュリティ更新プログラムと、6件の Microsoft Edge セキュリティ更新プログラムは含まれていない。本日にリリースされたセキュリティ更新プログラム以外としては、Windows 11 KB5034765/Windows 10 KB5034763 累積更新プログラムがある。

修正された2件のゼロデイ

2月の Patch Tuesday では、活発に悪用されている2件のゼロデイ脆弱性が修正された。Microsoft のゼロデイ分類は、一般に公開されている脆弱性および、積極的に悪用されているが公式な修正プログラムが提供されていない脆弱性を対象としている。

CVE-2024-21351:Windows SmartScreen のセキュリティ機能バイパスの脆弱性

Microsoft は、攻撃者に SmartScreen のセキュリティ・バイパスをゆるす、Windows SmartScreen の脆弱性を修正した。同社は、「認証された攻撃者は、ユーザーに悪意のファイルを送り、それを開かせることで、この脆弱性の悪用に成功し、SmartScreen のユーザー・エクスペリエンスのバイパスが可能になる」と説明している。この欠陥の悪用の方式や、悪用した脅威アクターについては分かっていない。この脆弱性は、Microsoft の Eric Lawrence により発見された。

CVE-2024-21412:インターネット・ショートカット・ファイルのセキュリティ機能バイパスの脆弱性

Microsoft は、Windows の Mark of the Web (MoTW) 警告バイパスの可能性のある、積極的に悪用されているインターネット・ショートカット・ファイルの脆弱性を修正した。

同社は、「認証されていない攻撃者は、表示されたセキュリティ・チェックをバイパスするように設計された、特別に細工されたファイルをターゲット・ユーザーに送信する。しかし攻撃者は、攻撃者が管理するコンテンツをユーザーに強制的に表示させることはできない。その代わりに、ファイルのリンクをクリックして行動を起こすように、ユーザーを誘導する必要がある」と述べている。

この脆弱性は、金融トレーダーをターゲットにしたキャンペーンで、APT グループ DarkCasino (Water Hydra) により積極的に悪用されたと、この欠陥を発見した Trend Micro Zero Day Initiative の Peter Girnus (gothburz) は、2月13日に公開したレポートで述べている。

同社によると、Aura Information Security の dwbz や、Google Threat Analysis Group の Dima Lenz/Vlad Stolyarov などの研究者たちも、この脆弱性を別個に発見したという。Microsoft は、この欠陥の悪用の方法について、詳細を明らかにしていない。

他社における最新のアップデート

2024年2月にアップデートまたはアドバイザリをリリースした、その他のベンダーは以下のとおりである:

  • Adobe:Commerce/Substance 3D Painter/Acrobat/Reader などのセキュリティ・アップデートをリリース。
  • Cisco:複数の製品のセキュリティ・アップデートをリリース。
  • ExpressVPN:DNS クエリが流出したことを受け、スプリット・トンネリング機能を削除した、新バージョンをリリース。
  • Fortinet:攻撃での悪用が確認されている FortiOS SSL VPN RCE/FortiSIEM の、2つの RCE 脆弱性に対するセキュリティ・アップデートをリリース。
  • Google:Android 2024年2月のセキュリティ・アップデートをリリースした。
  • Ivanti:Connect Secure 認証バイパスの脆弱性に対する、セキュリティ更新プログラムをリリース。
  • JetBrains:TeamCity On-Premises の深刻な認証バイパスの脆弱性に対する、セキュリティ・アップデートをリリース。
  • Linux:distros が、Shim ブートローダーのコード実行に関する脆弱性に対するパッチをリリース。
  • Mastodon:攻撃者に任意のリモート・アカウントの乗っ取りをゆるす脆弱性を修正する、セキュリティ・アップデートをリリース。
  • SAP:2024年2月の Patch Day アップデートをリリース。

2024年2月の Patch Tuesday のフルリストは、ココで参照できる。

Microsoft の February 2023 Patch Tuesday がでました。タイトルでは、2つのゼロデイと表現されていますが、これは Microsoft の定義に従った表記となります。もう少し踏み込むなら、今月は、2つのエクスプロイトと書いたほうが良いのかもしれません。今回の脆弱性 CVE-2024-21351/CVE-2024-21412 は Patch Tuesday が公開された 2月13日の時点で、CISA KEV にも登録されているので、米国の連邦政府機関で悪用が確認されているわけです。このあたりの、ベンダーの言葉の定義も、統一されていくと良いですね。