Windows Downdate の脆弱性 CVE-2024-43491 が FIX：すでに悪用が観測されている

Microsoft Says Windows Update Zero-Day Being Exploited to Undo Security Fixes

2024/09/10 SecurityWeek — 9月10日 (火) に Microsoft は、Windows Update の深刻な脆弱性の悪用について公表し、Windows の特定のバージョンにおいて、セキュリティ修正がロールバックされていると警告した。この積極的な悪用が観測されている脆弱性 CVE-2024-43491 の、CVSS スコアは 9.8 であり、Critical と評価されている。現時点において Microsoft は、公開された悪用に関する情報や、感染の兆候の検出に有効な IOC (indicators of compromise) などのデータを公開していない。同社によると、この問題は匿名で報告されたという。

Microsoft が共有したドキュメントは、今年の Black Hat カンファレンスで議論された “Windows Downdate” 問題に似たものであり、ダウングレード型の攻撃を示唆している。

Microsoft のセキュリティ情報から:

Microsoft のアドバイザリには、「2015年7月にリリースされた、最初 Windows 10 バージョン 1507 のオプション・コンポーネントに影響を及ぼす、いくつかの脆弱性に対する修正をロールバックしてしまう、サービス・スタックの脆弱性については認識している」と説明している。

同社は、「2024年3月12日にリリースされた、Windows KB5035858 (OS ビルド 10240.20526)、または、2024年8月以前にリリースされた Windows 10 1507 (Windows 10 Enterprise／IoT Enterprise 2015 LTSB) システムにおいて、これらの軽減された脆弱性を、攻撃者たちが悪用できることを意味する。それ以降の、すべての Windows 10 バージョンは、この脆弱性の影響を受けない。このサービス・スタックの脆弱性は、2024年9月のサービス・スタック更新プログラム (SSU KB5043936) と、2024年9月の Windows セキュリティ更新プログラム (KB5043083) を、この順序でインストールすることで解決される」と付け加えている。

この脆弱性が影響を及ぼすのは、2017 年にサポートが終了した Windows 10 バージョン 1507 だけとなる。ただし、現在もサポートされている、Windows 10 Enterprise 2015 LTSB／Windows 10 IoT Enterprise 2015 LTSB エディションにも影響が生じる。

この Windows Update の脆弱性は、Microsoft のセキュリティ対応チームにより、積極的な悪用のフラグが付けられた、４種類のゼロデイ脆弱性の１つである。

他の３件は、CVE-2024-38226：Microsoft Office Publisher のセキュリティ機能のバイパス／CVE-2024-38217：Windows Mark of the Web のセキュリティ機能バイパス／CVE-2024-38014：Windows インストーラーの権限昇格の脆弱性となる。

今年に入ってからの、Windows エコシステムの欠陥を悪用したゼロデイ攻撃が、21 件に達していることを Microsoft は認めている。

2024年9月の Patch Tuesday では、幅広い製品と OS コンポーネントに存在する、約 80 件の脆弱性がカバーされている。影響を受ける製品として挙げられるのは、Microsoft Office／Azure／SQL Server／Windows Admin Center／Remote Desktop Licensing／Microsoft Streaming Service などである。

80件のバグのうちの 7件に対対して、Microsoft は Critical と評価している。

その一方で Adobe は、幅広い製品にまたがる 28件のセキュリティ脆弱性に対するパッチをリリースし、Windows／macOS ユーザーに対して、コード実行攻撃にさらされていると警告した。

広く導入されている Acrobat／PDF Reader ソフトウェアに影響を与える脅威としては任意のコード実行をトリガーするメモリ破損の脆弱性が挙げられている。

さらに同社は、Adobe ColdFusionのメジャーアップデートをリリースし、コード実行攻撃の可能性のある深刻な脆弱性を修正した。その中でも、脆弱性 CVE-2024-41874 (CVSS：9.8) は、ColdFusion 2023 の全バージョンに影響を及ぼすとされる。

先ほどにポストした、「Microsoft 2024-09 月例アップデート：４件のゼロデイを含む 79件の脆弱性に対応」でも、この脆弱性 CVE-2024-43491 については、「以前に修正された脆弱性が再導入され、悪用される可能性が生じている」と注意が促されています。なお、Adobe の Patch Tuesday に関しても、後ほど記事をポストする予定です。