Microsoft 2024-09 月例アップデート:4件のゼロデイを含む 79件の脆弱性に対応

Microsoft September 2024 Patch Tuesday fixes 4 zero-days, 79 flaws

2024/09/10 BleepingComputer — 今日は、Microsoft の September 2024 Patch Tuesday の日であり、79件の脆弱性に対するセキュリティ更新プログラムが提供されたが、その中には、現時点で悪用されている4件のゼロデイ脆弱性が含まれるが、そのうちの1件は公開済みのものである。また、今月の Patch Tuesday では、リモート・コード実行や権限昇格の脆弱性である、7件の Critical 脆弱性が修正された。


それぞれの、脆弱性カテゴリにおけるバグの件数は次のとおりである。

  • 30件:権限昇格の脆弱性
  • 4件:セキュリティ機能バイパスの脆弱性
  • 23件:リモート・コード実行の脆弱性
  • 11件:情報漏えいの脆弱性
  • 8件:サービス拒否の脆弱性
  • 3件:なりすましの脆弱性

今日にリリースされた、セキュリティ以外の更新プログラムの詳細については、最新の Windows 11 KB5043076/Windows 10 KB5043064 更新プログラムに関する記事を参照してほしい。

4件のゼロデイ脆弱性が判明

今月の Patch Tuesday では、現時点で悪用されている4つの脆弱性が修正されているが、そのうちの1つは、すでに公開されている。Microsoft におけるゼロデイ脆弱性の定義は、公式の修正プログラムが未提供の状態で公開されているもの、そして、その時点で悪用が確認されているものとなる。

今日のアップデートで修正された、現時点で悪用されている4つのゼロデイ脆弱性は次のとおりだ:

CVE-2024-38014: Windows Installer の権限昇格の脆弱性

この脆弱性の悪用に成功した攻撃者は、Windows システムで SYSTEM 権限を取得できる。

現時点において Microsoft は、この脆弱性の悪用の方法については、詳細を明らかにしていない。

この脆弱性は、SEC Consult Vulnerability Lab の Michael Baer により発見された。

CVE-2024-38217 – Windows Mark of the Web セキュリティ機能バイパス脆弱性

この脆弱性は、2024年8月の時点で、Elastic Security の Joe Desimone により公開されたものであり、2018年から積極的に悪用されていると考えられている。

Desimone はレポートで、LNK ストンピングと呼ばれる手法について概説している。この手法では、非標準のターゲット・パスまたは内部構造を持つ、特別に細工された LNK ファイルにより、Smart App Control と Mark of the Web セキュリティ警告がバイパスされ、ファイルが開かれてしまう。

Microsoft のアドバイザリには、「攻撃者は Mark of the Web (MOTW) 防御を回避する悪意のファイルを作成し、SmartScreen Application Reputation セキュリティ・チェックや、従来からの Windows Attachment Services セキュリティ・プロンプトなどの、セキュリティ機能における整合性/可用性を限定的に失わせる可能性を手にする」と説明されている。

この脆弱性が悪用されると、以下のビデオで示されるように、LNK ファイル内のコマンドが警告なしで実行されてしまう。

LNK stomping demonstration


CVE-2024-38226 – Microsoft Publisher セキュリティ機能バイパスの脆弱性

Microsoft が修正した Publisher の脆弱性は、ダウンロードしたドキュメントに埋め込まれたマクロに対する、セキュリティ保護のバイパスを可能にするものだ。

Microsoft のアドバイザリには、「この脆弱性の悪用に成功した攻撃者は、信頼できないファイルや悪意のファイルをブロックするために使用される、Office のマクロ・ポリシーをバイパスする可能性を得る」と記されている。

Microsoft は、この脆弱性の発見者および、悪用の方法については明らかにしていない。

CVE-2024-43491 – Microsoft Windows Update のリモート コード実行脆弱性

Microsoft が修正した、サービス・スタックの脆弱性は、リモート・コード実行を可能にするものだ。

Microsoft のアドバイザリには、「2015年7月にリリースされた、最初 Windows 10 バージョン 1507 のオプション・コンポーネントに影響を及ぼす、いくつかの脆弱性に対する修正をロールバックしてしまう、サービス・スタックの脆弱性については認識している」と説明している。

同社は、「2024年3月12日にリリースされた、Windows KB5035858 (OS ビルド 10240.20526)、または、2024年8月以前にリリースされた Windows 10 1507 (Windows 10 Enterprise/IoT Enterprise 2015 LTSB) システムにおいて、これらの軽減された脆弱性を、攻撃者たちが悪用できることを意味する。それ以降の、すべての Windows 10 バージョンは、この脆弱性の影響を受けない。このサービス・スタックの脆弱性は、2024年9月のサービス・スタック更新プログラム (SSU KB5043936) と、2024年9月の Windows セキュリティ更新プログラム (KB5043083) を、この順序でインストールすることで解決される」と付け加えている。

この脆弱性が影響を及ぼすのは、2017 年にサポートが終了した Windows 10 バージョン 1507 だけとなる。ただし、現在もサポートされている、Windows 10 Enterprise 2015 LTSB/Windows 10 IoT Enterprise 2015 LTSB エディションにも影響が生じる。

この脆弱性の特徴は、Active Directory Lightweight Directory Services/XPS Viewer/Internet Explorer 11/LPD Print Service/IIS/Windows Media Player などのオプション・コンポーネントが、オリジナルの RTM バージョンにロールバックされる点にある。したがって、以前に修正された脆弱性が再導入され、悪用される可能性が生じている。

Microsoft は、この脆弱性の発見者および、悪用の方法については明らかにしていない。

この脆弱性の詳細と、影響を受けるコンポーネントの完全なリストについては、Microsoft のアドバイザリを参照してほしい。

他社からの最近のアップデート

2024年9月ににおいて、アップデートまたはアドバイザリをリリースした他ベンダーは以下のとおりである:

  • Apache:以前に修正された欠陥をバイパスする、OFBiz の深刻なリモート・コード実行脆弱性を修正した。
  • Cisco:Smart Licensing Utility バックドアの脆弱性や、ISE のコマンド・インジェクションの脆弱性などmp、複数の脆弱性を修正した。
  • YubiKey:Eucleak 攻撃により ECDSA 秘密キーが抽出され、YubiKey FIDO デバイスが複製されるという問題に対処した。
  • Fortinet:Fortisandbox/FortiAnalyzer & FortiManager の脆弱性に対する、セキュリティ・アップデートをリリースした。
  • Google:積極的に悪用されている、Pixel における権限昇格の脆弱性対する修正を、他の Android デバイスにバックポートした。
  • Ivanti:vTM 認証バイパスに対する、重要なセキュリティ・アップデートをリリースした。この問題については、エクスプロイトが公開されている。
  • WordPress:LiteSpeed Cache プラグインにおける、未認証のユーザーにアカウントが乗っ取られる問題を修正した。
  • SonicWall:8月に修正された、SonicWall のアクセス制御の欠陥が、ランサムウェア攻撃で悪用されている。ユーザーに対して、警告が発せられている。
  • Veeam:Backup & Replication ソフトウェアにおける、深刻な RCE 脆弱性を修正した。
  • Zyxel:ルーター群に存在する、深刻な OS コマンド・インジェクションの欠陥について警告を発している。

September 2024 Patch Tuesday のフルリストは、ココで参照できる

今月の Patch Tuesday は、全体の件数こそ少ないですが、すでに悪用が確認されているゼロデイが多く、続報がありそうな感じです。よろしければ、Microsoft + 月例 で検索も、ご利用ください。