Microsoft October 2024 Patch Tuesday fixes 5 zero-days, 118 flaws
2024/10/08 BleepingComputer — 今日は、Microsoft の October 2024 Patch Tuesday の日である。今月の Patch Tuesday には、118件の脆弱性に対するセキュリティ更新が含まれ、その中には、公開された5件のゼロデイ脆弱性が含まれ、そのうちの2件は悪用が確認されているものだ。なお、この Patch Tuesday では、3件の Critical な脆弱性が修正されたが、それら全てがリモート・コード実行の脆弱性である。
それぞれの脆弱性を、カテゴリ分類すると、以下のようになる。
28件:権限昇格の脆弱性
7件:セキュリティ機能バイパスの脆弱性
43件:リモート コード実行の脆弱性
6件:情報漏えいの脆弱性
26件:サービス拒否の脆弱性
7件:スプーフィングの脆弱性
なお、上記の件数には、10月3日付けで修正された、3件の Edge の脆弱性は含まれない。
また、今日にリリースされたセキュリティ以外のアップデート詳細については、Windows 11 KB5044284/KB5044285 累積アップデートと、Windows 10 KB5044273 アップデートに関する専用記事を参照してほしい。
5つのゼロデイ脆弱性が公開
今月の Patch Tuesday では5つのゼロデイ脆弱性が修正されているが、それら全てが公開されているものだ。また、そのうち2つは、サイバー攻撃で積極的に悪用されている。
Microsoft の、ゼロデイ脆弱性の定義は、公式の修正プログラムが利用できない間に、公開されている脆弱性、もしくは、積極的に悪用されている脆弱性となる。
本日のアップデートにおける、積極的に悪用されている2件のゼロデイ脆弱性は次のとおりである。
悪用が確認されたゼロデイ脆弱性
CVE-2024-43573:Windows MSHTML プラットフォームにおけるスプーフィングの脆弱性
このバグおよび悪用方法について、Microsoft は詳細情報を公開していないが、以前において Internet Explorer と Legacy Microsoft Edge で使用されていた MSHTML プラットフォームが関係しており、そのコンポーネントが、依然として Windows にインストールされていると述べている。
Microsoft は、「特定のプラットフォームでの Internet Explorer 11 アプリケーションの廃止を発表しており、Microsoft Edge Legacy アプリケーションは非推奨となっているが、基盤となる MSHTML/EdgeHTML/スクリプト・プラットフォームは引き続きサポートされている。MSHTML プラットフォームは、Microsoft Edge の Internet Explorer モードや、WebBrowser コントロールを介して、他のアプリケーションで使用されている。また、EdgeHTML プラットフォームは、WebView および一部の UWP アプリケーションで使用されている。スクリプト・プラットフォームは、MSHTML/EdgeHTML で使用されているが、他のレガシー・アプリケーションでも使用されている」と述べている。
確認はされていないが、ファイルを開くときに表示されるアラートで、ファイル拡張子を偽装するために MSHTML を悪用するという、以前の脆弱性に対する回避策の可能性がある。同様に、MSHTML 偽装の脆弱性は、ファイル名の点字を使用して PDF ファイルを偽装する攻撃として、先月に公開されている。
Microsoft は、この脆弱性を公開した人物を明らかにしていない。
CVE-2024-43572 :Microsoft Management Console においてリモート・コード実行の脆弱性
この脆弱性を悪用する攻撃者は、悪意の Microsoft Saved Console (MSC) ファイルにより、脆弱なデバイス上でリモート・コード実行を達成する。
Microsoft は、「信頼されていない MSC ファイルが開かれないようにすることで、この欠陥を修正した。今回のセキュリティ更新プログラムでは、この脆弱性に関連するリスクからユーザーを保護するために、信頼されていない Microsoft Saved Console (MSC) のオープンを不可能にしている」と説明している。
この欠陥が、実際の攻撃で悪用されている方法については不明である。
Microsoft によると、このバグは “Andres and Shady” により公開されたとのことだ。
悪用は未確認のゼロデイ脆弱性
公開はされているが、攻撃に悪用されなかった3つの脆弱性は以下のとおりである:
CVE-2024-6197:オープン・ソース Curl におけるリモート・コード実行の脆弱性
悪意のあるサーバに Curl が接続する際に、コマンドが実行される可能性のある、libcurl リモート・コード実行の脆弱性が修正された。
Curl のセキュリティ・アドバイザリには、「この脆弱なコード・パスは、特別に細工された TLS 証明書を提供する、悪意のサーバーによりトリガーされる可能性がある」と記されている。
Microsoft は、Windows にバンドルされている Curl 実行型ファイルで使用される、libcurl ライブラリを更新することで、この欠陥を修正した。
この欠陥は、”z2_” というセキュリティ研究者により発見され、HackerOne レポートを介して、技術的な詳細が共有された。
CVE-2024-20659 :Windows Hyper-V におけるセキュリティ機能バイパスの脆弱性
Microsoft は、「ハイパーバイザーとカーネルへの侵害を、攻撃者に対して許す可能性のある、UEFI バイパスを修正した。このハイパーバイザーの脆弱性は、Unified Extensible Firmware Interface (UEFI) ホストマシン内の、仮想マシンに関連している。特定のハードウェアでは、UEFI バイパスの可能性が生じており、ハイパーバイザーとセキュア・カーネルの侵害にいたる恐れがある。ただし、この脆弱性を悪用する前提として、攻撃者はデバイスへの物理的なアクセスと、再起動を達成する必要がある」と述べている。
この欠陥は、Quarkslab の Francisco Falcon と Ivan Arce により発見されたが、公表されたチャネルは不明である。
CVE-2024-43583: Winlogon における権限昇格の脆弱性
Microsoft は、Windows のシステム権限を、で攻撃者に与える可能性がある権限昇格の脆弱性を修正した。
同社は、「この欠陥から保護するためには、管理者が追加のアクションを実行する必要がある。
この脆弱性に対処するには、それぞれのデバイス上で、Microsoft のファーストパーティ IME が有効化されていることを確認してほしい。
そうすることで、サインイン・プロセス中において、サードパーティ IME に関連する潜在的な脆弱性からデバイスを保護できる」と述べている。
この欠陥を発見したのは、pwnull の wh1tc と Zhiniang Peng である。
他ベンダーによる最近のアップデート
2024年10月に、アップデートまたはアドバイザリをリリースしたベンダーは、以下のとおりである。
- Cisco:Cisco Meraki MX/Z Series Teleworker Gateway/Nexus Dashboard などの、複数の製品群に対するセキュリティ更新をリリース。
- DrayTek:各種のルーター・モデルにおける、14 件の脆弱性に対するセキュリティ・アップデートをリリース。
- Fortinet:各種ファームウェアに存在する、4件の脆弱性を修正しましたが、いずれも積極的に悪用されたという報告はない。
- Ivanti:アクティブな攻撃に関連する、3件のゼロデイに対するセキュリティ・アップデートをリリース。
- Optigo Networks:ONS-S8 Aggregation Switch 製品群に存在する、2件欠陥に対するセキュリティ・アップデートをリリース。
- Qualcomm:Digital Signal Processor (DSP) サービスのゼロデイ脆弱性に対する、セキュリティ・パッチをリリース。
- SAP:10月の Patch Day の一環として、複数の製品に対するセキュリティ・アップデートをリリース。
October 2024 Patch Tuesday のフルリストは、ココで参照できる。
今月の Patch Tuesday は件数が多く、おとなりのキュレーション・チームは大変だったようです。同じ製品群に、複数の脆弱性が存在する場合には、ある程度マトメないと、レポートが長大になるため工夫が必要とのことです。その工夫が、しやすい場合と、しにくい場合があるようで、今月は後者だったようです。すでに悪用が始まっている脆弱性が2件です。速やかなアップデートを、ご検討ください。よろしければ、Microsoft + 月例 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.