Microsoft 2024-04 月例アップデート:67件の RCE バグと 150件の脆弱性に対応

Microsoft April 2024 Patch Tuesday fixes 150 security flaws, 67 RCEs

2024/04/09 BleepingComputer — 今日は、Microsoft の April 2024 Patch Tuesday であり、150件の脆弱性に対するセキュリティ更新プログラムが提供されるが、そのうちの 67件がリモート・コード実行のバグとなっている。また、今日の Patch Tuesday で修正された、Critical な脆弱性は3件のみである。また、67件のリモート・コード実行バグの半数以上は、Microsoft SQLドライバ内で発見されており、共通の欠陥が重複している可能性が高い。なお、26件の Secure Boot バイパスに対する修正がリリースされたが、その中には、Lenovo に関連する2件の脆弱性も含まれる。


それぞれの脆弱性カテゴリーにおける、バグ数は以下の通りである:

  • 31件:特権昇格の脆弱性
  • 29件:セキュリティ機能バイパス脆弱性
  • 67件:リモート・コード実行の脆弱性
  • 13件:情報漏えいの脆弱性
  • 7件:サービス拒否の脆弱性
  • 3件:スプーフィングの脆弱性

合計で 150件の脆弱性が修正されたが、4月4日に修正された Microsoft Edge の脆弱性5件と、Mariner の脆弱性2件は含まれていない。Mariner とは、Microsoft Azure サービス用に開発された、オープンソースの Linux ディストリビューションのことである。

本日リリースされた、非セキュリティ更新プログラムの詳細については、新しい累積更新プログラムである、Windows 10 KB5036892/Windows 10 KB5036892 に関する専用の記事を参照してほしい。

修正されたゼロデイは無し

今月の Patch Tuesday には、Microsoft が公表するゼロデイ脆弱性の修正は含まれていない。しかし、Varonis の研究者たちは、サーバからファイルがダウンロードされる際の検出を困難にする、Microsoft SharePoint における2件のゼロデイを公表している。

手口_1:アプリ内で開く方法

1つ目の手法は、SharePoint の “open in app” 機能を有効化するコードを使用して、ファイルにアクセスした後にダウンロードするものであり、ファイルの監査ログに残るのはアクセス・イベントのみとなる。この方法は、手動で実行することも可能であり、また、PowerShell スクリプトで自動化することも可能である。多数のファイルが、迅速に流出してしまう可能性がある。

手口_2:SkyDriveSync のユーザーエージェント

2つ目の手法は、Microsoft SkyDriveSync の User-Agent を使用し、イベントをダウンロードではなく、ファイル同期であると誤認させながら、ファイルやサイト全体をダウンロードするものである。

なお、Microsoft は、上記の2つの不具合に対して CVE を採番していない。そして、パッチのバックログに追加しているが、修正の次期については予定されていない。

最近の他社のアップデート

2024年4月において、セキュリティ・アップデートや脆弱性アドバイザリをリリースしたのは、以下のベンダーとなる:

  • Cisco:複数の製品に対するセキュリティ・アップデートを公開した。
  • D-Link:販売終了した NAS デバイスに存在する、新たな脆弱性を公表した。ただし、それらの脆弱性は修正されない。
  • Google:Google Pixel のゼロデイ2件と、Google Chrome のゼロデイを修正した。
  • HTTP/2:新たに発見された CONTINUATION Flood の欠陥により、サービス拒否 (DoS) 攻撃が引き起こされる可能性がある。
  • Ivanti:VPN Gateway の脆弱性3件を修正する、セキュリティ・アップデートをリリースした。
  • Linux:サプライチェーン攻撃で XZ Utils バックドアが発見されたことで、それぞれのディストリビューション・メンテナがたちが、XZ Utils を以前のバージョンに戻している。
  • LG WebOS:新たに発見された脆弱性により、9万台以上の Smart TV に影響が及ぶ可能性がある。
  • SAP:2024年4月の Patch Day アップデートを公開。

2024年4月の Patch Tuesday のフルリストは、ココで参照できる。

2024年4月の Patch Tuesday ですが、修正された脆弱性の数が 150件という、かなり大規模なものとなりました。久々の三桁に達する件数に、お隣のキュレーション・チームは悲鳴をあげていました。全体で 70件を超えるレポート数で、そこから Adobe などを除いても、Microsoft だけで 60件くらいになったようです。レポートを作る側も、それを受け取ってパッチを適用する側も、とてもタイヘンな日になりました。よろしければ、Microsoft で検索も、ご利用ください。