CVE-2024-29988: ‘In-the-Wild’ Flaw Among Microsoft’s April 2024 Patch Tuesday
2024/04/09 SecurityOnline — Microsoft の April 2024 Patch Tuesday でリリースされたのは、同社のソフトウェア・エコシステム全体にまたがる、脆弱性 147件に対する大量の修正である。この膨大なアップデートと、すでにゼロデイ脆弱性が活発に悪用されているという報告が示すのは、サイバー・セキュリティにおける絶え間のない戦いである。今月のアップデートでは、Windows/Office/Azure/.NET Framework/SQL Server などにおける深刻な弱点が対象とされている。
ゼロデイ警告
今回のパッチが適用された脆弱性において、攻撃されていると公式に確認されているものはない。しかし、Zero Day Initiative (ZDI) のセキュリティ研究者たちは、脆弱性 CVE-2024-29988 が悪用されている証拠を発見した。この SmartScreen バイパスにより、攻撃者は Microsoft の Mark of the Web (MotW) プロテクションを回避して、マルウェアの配信を可能にしている。Microsoft が何らかの確認を行うまで、この脅威はゼロデイとして扱われるべきだ。
Google の Threat Analysis Group に所属する、Dmitrij Lenz と Vlad Stolyarov も、この脆弱性 CVE-2024-29988について報告している。
注目すべき脆弱性
- CVE-2024-20678:リモート・プロシージャ・コール (RPC) の脆弱性:この RPC におけるリモート・コード実行 (RCE) の脆弱性は、認証を必要とするが、特別な権限は必要としない。インターネット上には、数多くの RPC サービスが公開されているため、この脆弱性は、攻撃の主要なターゲットになり得る。
- CVE-2024-20670:Outlook における NTLM リレー:この脆弱性の悪用に成功した攻撃者は、メール内のコンテンツをクリックした Outlook ユーザーから、NTLM ハッシュを採取することが可能になる (プレビューペインは危険ではない)。最近の NTLM リレー攻撃により、この脆弱性が武器化される可能性がある。
- CVE-2024-26221 (他 6 件): DNS サーバの RCE リスク:Windows DNS サーバには、致命的な脆弱性のクラスターが存在する。認証されたユーザーが、標的とされる DNS クエリーを実行すると、タイミング・ベースのリモートコード実行が可能になる。DNS インフラはミッション・クリティカルであるため、これらのパッチは、優先的に適用されるべきだ。
April 2024 Patch Tuesday:深刻度の内訳
- Critical:3件
- Important:142件
- Moderate:2件
推奨
- 直ちにパッチを適用する: これらの脆弱性を標的とする攻撃のリスクは、特にゼロデイ・エクスプロイトの証拠により高まっている。
- ゼロトラスト・マインドセット: パッチ適用後も警戒を怠らない。ゼロデイ脆弱性を悪用する足がかりを、すでに攻撃者が掴んでいる可能性がある。
- セキュリティ・トレーニング: ユーザー教育は重要である。Outlook ベースの攻撃の影響を最小限に抑えるために、電子メールに含まれる不審なリンクや添付ファイルをクリックすることの危険性について、チームに注意を促すべきだ。
Microsoft の April 2024 Patch Tuesday に関しては、2024/04/09 の「Microsoft 2024-04 月例アップデート:67件の RCE バグと 150件の脆弱性に対応」で、すでにレポートしています。そこでは、SharePoint における2件のゼロデイについて触れられていますが、ZDI は別の脆弱性の悪用に注目しているようです。よろしければ、Microsoft で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.