Microsoft 2024-08 月例アップデート:6件のエクスプロイトを含む9件のゼロデイ脆弱性に対応

Microsoft August 2024 Patch Tuesday fixes 9 zero-days, 6 exploited

2024/08/13 BleepingComputer — 今日は Microsoft の August 2024 Patch Tuesday であり、89件の欠脆弱性に対するセキュリティ・アップデートが提供されたが、その中には積極的に悪用されている6件の欠陥と、3件のゼロデイが含まれている。また、Microsoft は、もう1件のゼロデイに対する更新プログラムを作成中だという。今月の Patch Tuesday では、特権の昇格/リモート・コード実行などの、8件の Critical な脆弱性が修正された。


それぞれの脆弱性カテゴリーにおけるバグの数は、以下の通りである:

  • 36件:特権昇格の脆弱性
  • 4:セキュリティ機能バイパス脆弱性
  • 28:リモート・コード実行の脆弱性
  • 8件:情報漏えいの脆弱性
  • 6件:サービス拒否の脆弱性
  • 7件:スプーフィング脆弱性

なお、上記のバグ件数には、今月の初めに公開された Microsoft Edge の不具合は含まれていない。

また、今日に公開された累積アップデート・プログラムの詳細については、Windows 11 KB5041585 アップデート および Windows 10 KB5041580 アップデート の専用記事を参照してほしい。

悪用されたゼロデイ

今月の Patch Tuesday では、積極的に悪用されている6件のゼロデイ脆弱性と、一般に公開されている3件のゼロデイ脆弱性が修正された。すれに公開されている、別の1件のゼロデイ脆弱性は、現時点では未修正の状況にあり、Microsoft はアップデートに取り組んでいる。

Microsoft におけるゼロデイ脆弱性の定義は、公式な修正プログラムが提供されずに一般に公開されているもの、または、積極的に悪用されているものとなっている。今日のアップデートに含まれ、積極的に悪用されているゼロデイ脆弱性は、以下の6件である:

CVE-2024-38178:スクリプト・エンジンのメモリ破壊の脆弱性

Microsoft によると、認証されていない攻撃者がリモートでコード実行を開始する前提として、認証されたクライアントがリンクをクリックする必要があるとのことだ。ただし、このリンクは、Internet Explorer モードの Microsoft Edge でクリックする必要があるため、この脆弱性を悪用するのは容易ではない。しかし、韓国の National Cyber Security Center (NCSC) と AhnLab は、この欠陥が攻撃に悪用されていることを公表している。

CVE-2024-38193:WinSock 用 Windows 補助機能ドライバの特権昇格の脆弱性

この脆弱性は、Windows システム上で SYSTEM 権限の獲得を許すものだ。この欠陥は、Gen Digital の Luigino Camastra と Milanek により発見されたものだ。ただし Microsoft は、この欠陥の詳細を共有していない。

CVE-2024-38213:Windows Mark of the Web セキュリティ機能バイパスの脆弱性

この脆弱性の悪用に成功した攻撃者は、Windows Mark of the Web セキュリティ警告をバイパスするファイルの作成を可能にする。このセキュリティ機能は、フィッシング・キャンペーンを行う脅威者にとって魅力的なターゲットであるため、この1年間で多くのバイパスが発生している。Microsoft によると、この欠陥は Trend Micro – Zero Day Initiative の Peter Girnus により発見されたものだが、攻撃における悪用の方式は明らかにされていない。

CVE-2024-38106:Windows カーネルの特権昇格の脆弱性

SYSTEM 権限の不正な取得を許す、Windows カーネルの特権昇格の不具合が修正された。この脆弱性の悪用を成功させる攻撃者は、競合状態を制する必要があると、Microsoft は指摘している。この欠陥の公開および悪用の状況について、Microsoft は明らかにしていない。

CVE-2024-38107 :Windows Power Dependency Coordinator の特権昇格の脆弱性

Windows デバイス上の SYSTEM 権限を、攻撃者に与えてしまう不具合が修正された。この欠陥の公開および悪用の状況について、Microsoft は明らかにしていない。

CVE-2024-38189:Microsoft Project のリモート・コード実行の脆弱性

Microsoft Project のリモート・コード実行の脆弱性が修正された。この脆弱性を悪用する前提として、インターネットから取得される Office ファイルのマクロ・ブロック・ポリシーが無効化され、かつ、VBA マクロの通知設定が無効化されているシステムで、悪意の Microsoft Office Project ファイルを開く必要がある。さらに攻撃者は、フィッシング攻撃を仕掛けるための Web サイトにユーザーを誘導し、悪意のファイルを開かせる必要がある。この欠陥の公開および悪用の状況について、Microsoft は明らかにしていない。

公表されたゼロデイ

CVE-2024-38199:Windows Line Printer Daemon (LPD) サービスのリモート・コード実行の脆弱性

Windows Line Printer Daemon におけるリモート・コード実行の脆弱性が修正された。同社のアドバイザリには、「未認証の攻撃者であっても、特別に細工した印刷タスクを、ネットワーク上で共有された脆弱な Windows Line Printer Daemon (LPD) サービスに送信できる。この脆弱性の悪用に成功すると、サーバ上でのリモート・コード実行にいたる可能性が生じる」と記されている。この脆弱性は公表されているが、公表者は匿名を希望している。

CVE-2024-21302:Windows Secure Kernel Mode における特権昇格の脆弱性

この脆弱性は、SafeBreach のセキュリティ研究者である Alon Leviev が、Black Hat 2024 における Windows Downdate ダウングレード攻撃に関する講演の一環として、公開したものである。Windows Downdate 攻撃は、完全に更新されたWindows 10/Windows 11/Windows Server システムに対するパッチを解除し、特別に細工された更新プログラムを使用して、古い脆弱性を再導入するものだ。この脆弱性の悪用に成功した攻撃者は、悪意の更新プログラムをインストールするための、昇格した権限を得ることが可能になった。

CVE-2024-38200:Microsoft Office なりすましの脆弱性

DefCon で公開された、Microsoft Office の NTLM ハッシュ暴露の脆弱性である “NTLM – The last ride” が修正された。攻撃者に欺かれたユーザーが、悪意のファイルを開くところから、攻撃チェーンが始まる。続いて、この脆弱性を悪用して、Office にリモート共有へのアウトバウンド接続を行わせ、そこで送信された NTLM ハッシュを盗むことが可能となる。この欠陥は、PrivSec の Jim Rush により発見され、2024年7月30日の時点で Microsoft Office Feature Flighting により修正されている。

CVE-2024-38202:Windows Update スタックの特権昇格の脆弱性

この脆弱性は、Black Hat 2024 で公表された、Windows Downdate ダウングレード攻撃の一部でもある。この脅威を軽減するセキュリティ更新プログラムは開発中であり、まだ提供されていない。

他社の最近のアップデート

2024年8月に、更新プログラムまたはアドバイザリをリリースしたベンダーは以下のとおりである:

August 2024 Patch Tuesday のフルリストは、ココで参照できる。

Microsoft がゼロデイと指摘していなかった脆弱性 CVE-2024-38063 が、Patch Tuesday の直後から話題になっています。こちらは、「Windows TCP/IP スタックの処理において、特に IPv6 トラフィックの処理において、影響を及ぼすリモート・コード実行 (RCE) の脆弱性」と説明されています。今日の記事を追いかけるかたちで、可能な限り早く、日本語版をポストします。