Microsoft 2024-05 月例アップデート：３件のゼロデイと 61件の脆弱性に対応

Microsoft May 2024 Patch Tuesday fixes 3 zero-days, 61 flaws

2024/05/14 BleepingComputer — 今日は、Microsoft の May 2024 Patch Tuesday の日だ。全体で 61件の脆弱性が修正されたが、そのうちの３件は、活発な悪用または、すでに公開済みの、ゼロデイ脆弱性に対するセキュリティ更新となっている。今月の Patch Tuesday における Critical な脆弱性は、Microsoft SharePoint Server のリモート・コード実行のみとなっている。

それぞれの脆弱性カテゴリにおけるバグの件数は以下の通りとなる：

• 17件：特権昇格の脆弱性
• 2件：セキュリティ機能バイパスの脆弱性
• 27件：リモート・コード実行の脆弱性
• 7件：情報漏洩の脆弱性
• 3件：サービス拒否の脆弱性
• 4件：スプーフィング脆弱性

なお、合計で 61件の脆弱性には、Microsoft Edge に対して、5月2日に修正された脆弱性２件と、5月10日に修正された脆弱性４件は含まれていない。

今日にリリースされた、非セキュリティ更新プログラムの詳細については、新たな累積更新プログラムである、Windows 11 KB5037771 および Windows 10 KB5037768 に関する専用記事を参照してほしい。

３件のゼロデイが修正

今月の Patch Tuesday で修正された脆弱性には、活発に悪用されている２件のゼロデイと、一般に公開されている１件のゼロデイが含まれる。

Microsoft では、公式な修正プログラムが提供されていないが、すでに一般に公開されている脆弱性と、積極的に悪用されている脆弱性を、ゼロデイとして分類している。

今日のアップデートに含まれる、積極的なに悪用されるゼロデイ脆弱性、以下の２件となる：

CVE-2024-30040：Windows MSHTML プラットフォームのセキュリティ機能バイパスの脆弱性

脆弱な COM/OLE コントロールからユーザーを保護するために、Microsoft 365 および Microsoft Office に追加された、OLE 緩和策に対するバイパスが修正された。

Microsoft は、「一般的に、電子メールまたはインスタント・メッセンジャーを介して接触してくる攻撃者は、脆弱なシステムに悪意のあるファイルをロードし、特別に細工されたファイルを操作するよう、ユーザーを説得する必要がある。ただし、必ずしも悪意のあるファイルをクリックさせる必要はない」と説明している。

同社は、「この脆弱性の悪用に成功した認証されていない攻撃者は、悪意のドキュメントをユーザーに開かせることで、コードを実行することが可能になる。その時点で攻撃者は、ユーザーのコンテキストで任意のコード実行も可能になる」と付け加えている。

この欠陥が攻撃で悪用された方式や、発見者については不明である。

CVE-2024-30051：Windows DWM コア・ライブラリの特権昇格の脆弱性

Microsoft は、積極的に悪用される脆弱性として、Windows DWM コア・ライブラリに存在する欠陥を修正した。この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性を手にする。

Kaspersky のレポートによると、最近の Qakbot マルウェア・フィッシング攻撃は、この欠陥を悪用して Windows デバイス上で SYSTEM 権限を得るために、悪意のドキュメントを使用していたとのことだ。

Microsoft によると、この欠陥は、以下の研究者たちにより公表されたとのことだ： Kaspersky Mert Degirmenci と Boris Larin および、DBAPPSecurity WeBin Lab のQuan Jin Guoxian Zhong、Google Threat Analysis Group の Vlad Stolyarov と Benoit Sevens、Google Mandiant の Bryce Abdo と Adam Brunner。

Microsoft は、脆弱性 CVE-2024-30051 も、すでに公開されていると述べているが、その詳細は不明である。さらに Microsoft は、Visual Studio のサービス拒否の脆弱性 CVE-2024-30046 も、すでに公開されていると述べている。

他社の最近のアップデート

2024年5月に、アップデートやアドバイザリを公開したベンダーは以下の通りだ：

• Adobe：After Effects／Photoshop／Commerce／InDesign などのセキュリティ・アップデートをリリース。
• Apple：RTKit のゼロデイ修正を古いデバイスにバックポートし、Pwn2Ownで悪用が証明された Safari WebKit のゼロデイ欠陥を修正。
• Cisco：IP Phone 製品群のセキュリティ・アップデートをリリース。
• Citrix：Xencenter の管理者に対して、管理者の SSH 秘密鍵を盗むために悪用できる、PuTTY の欠陥を手動で修正するよう勧告。
• F5：BIG-IP Next Central Manager API に存在する、２件の高深刻度の脆弱性に対するセキュリティ・アップデートをリリース。
• Google：2024年に入って６回目のゼロデイを修正する、緊急アップデートを公開。
• TinyProxy：Cisco が公開した、深刻なリモート・コード実行の脆弱性を修正。
• VMware：Pwn2Own 2024で悪用が証明された、３件のゼロデイ脆弱性を修正。

残念なことに、SAP の Patch Tuesday セキュリティ・アップデートに関しては、ログインの背後に置かれたことで、今後は参照できなくなった。

2024年5月の Patch Tuesday のフルリストは、ココで参照できる。

今月の Patch Tuesday ですが、ゼロデイ脆弱性は３件とのことです。文中の解説を参照しながら、それぞれを ご確認ください。よろしければ、Microsoft で検索も、ご利用ください。