2024-11 月例アップデート:4件のゼロデイを含む 89件の脆弱性に対応

Microsoft November 2024 Patch Tuesday fixes 4 zero-days, 91 flaws

2024/11/12 BleepingComputer — 今日は、Microsoft の November 2024 Patch Tuesday の日だ。この Patch Tuesday には、89 件の脆弱性に対するセキュリティ・アップデートが取り込まれ、その中には4 つのゼロデイ脆弱性が存在するが、そのうちの2件は現在も悪用されている。今回の Patch Tuesday で修正された深刻な脆弱性は4件であり、具体的に言うと、2件のリモート コード実行の欠陥と、2件権限昇格の欠陥である。

それぞれの各脆弱性カテゴリのバグの件数は、以下のとおりである。

  • 26 件:権限昇格脆弱性
  • 2 件:セキュリティ機能バイパス脆弱性
  • 52 件:のリモート コード実行脆弱性
  • 1 件:情報漏洩脆弱性
  • 4 件:サービス拒否脆弱性
  • 3 件:なりすまし脆弱性

なお、上記の件数には、11月7日に修正された、Edge における2件の脆弱性は含まない。また、今日にリリースされたセキュリティ以外の更新の詳細については、最新の Windows 11 KB5046617/KB5046633 累積更新および、Windows 10 KB5046613 更新に関する専用記事を参照してほしい。

4件のゼロデイ脆弱性が公開

今月の Patch Tuesday では、4件のゼロデイ脆弱性が修正された。そのうち2件は、攻撃で積極的に悪用されているものであり、また、3件は情報が公開されたものである。

Microsoft によるゼロデイ脆弱性の定義は、公式の修正プログラムが利用できない間に、情報が公開された脆弱性と、積極的に悪用されている脆弱性となる。

積極的な悪用が観測されているとして、今日の更新プログラム修正された2件のゼロデイ脆弱性は、以下のとおりである。

CVE-2024-43451:NTLM ハッシュ開示スプーフィング脆弱性

悪意のファイルに対する最小限のインタラクションにより、リモート攻撃者に対して NTLM ハッシュを公開してしまう、脆弱性 CVE-2024-43451 が修正された。

Microsoft の説明は、「この脆弱性により、ユーザーの NTLMv2 ハッシュが攻撃者に対して公開され、そを悪用する攻撃者は、ユーザーとしての認証を獲得する。具体的に言うと、悪意のあるファイルに対して、ユーザーが左クリック/右クリックなどの最小限の操作を行うと、この脆弱性が引き起こされる可能性が生じる」というものだ。

この脆弱性は ClearSky Cyber​​ Security の Israel Yeshurun により発見/公開されたが、詳細は明らかにされていないと、Microsoft は述べている。

CVE-2024-49039: Windows タスク・スケジューラの権限昇格の脆弱性

特別に細工されたアプリケーションが実行されると、権限が Medium Integrity レベルに昇格する可能性がある。

Microsoft は説明は、「このようなケースにおいて、低権限の AppContainer からの攻撃が成功する可能性が生じる。攻撃者は権限を昇格させ、AppContainer 実行環境よりも高い Integrity レベルでのコードの実行や、リソースへのアクセスを可能にする」というものだ。

この脆弱性の悪用に成功した攻撃者は、通常では特権アカウントに制限されている RPC 関数を実行する可能性を得ると、Microsoft は述べている。

この欠陥を発見したのは、Google TAG の Vlad Stolyarov と Bahare Sabouri である。ただし、実際の攻撃における、この脆弱性の悪用方法は不明である。

ーーー

以下の2件の脆弱性は、情報は公開されているが攻撃には悪用されていないものである。

CVE-2024-49040: Microsoft Exchange Server のなりすまし脆弱性

Exchange の脆弱性を悪用する脅威アクターが、ローカル受信者へのメールにおいて、送信者のメール・アドレスを偽装できる。この脆弱性が修正された。

Microsoft は、「Microsoft Exchange Server に対する、なりすまし攻撃を攻撃者に許す、脆弱性 CVE-2024-49040 の存在を認識している。この脆弱性は、トランスポートで発生する、P2 FROM ヘッダーに対する不適切な検証により発生する」と述べている。

なりすましメールを検出して、フラグを立てる機能に対して、今月の Exchange セキュリティ・アップデートから、Microsoft は対応している。この機能により、メール本文の先頭に “注意: このメールは疑わしい。信頼できる方法でソースの確認が不可能な場合には、このメールの情報/リンク/添付ファイルを信頼してはならない” という警告が添付される。

Microsoft によると、この欠陥は Solidlab の Slonser によりて発見され、この記事で公開されることになった。

CVE-2024-49019: Active Directory 証明書サービスの権限昇格の脆弱性

ビルトインされている、デフォルトの Version 1 証明書テンプレートを悪用する攻撃者が、ドメイン管理者の権限を取得するという欠陥が修正された。

Microsoft は、「Version 1 証明書テンプレートを使用して作成された、証明書が公開されていないことを確認してほしい。この証明書では、サブジェクト名の Source が “Supplied in the request” に設定されているため、ドメイン・ユーザーやドメイン・コンピューターなどの、広範なアカウント・セットに Enroll 権限が付与されてしまう。ビルトインされている、Web Server テンプレートが例となるが、Enroll 権限が制限されているため、デフォルトにおいては脆弱ではない」と述べている。

この欠陥は、TrustedSec の Lou Scicchitano、Scot Berner、Justin Bollinger によりて発見され、10月には “EKUwu” 脆弱性として公表さた。

TrustedSec のレポートには、「ビルトインされたデフォルトの Version 1 証明書テンプレートを悪用する攻撃者は CSR を作成し、テンプレートで指定されたコンフォイグ済みの Extended Key Usage 属性よりも優先される、アプリケーション・ポリシーを取り込むことが可能になる。唯一の要件が enrollment 権限になるため、WebServer テンプレートを悪用することで、クライアント認証/証明書要求エージェント/コード署名証明書の生成が可能になる」と記されている。

他の企業による最近のアップデート

2024年1 月に、アップデート/アドバイザリをリリースしたベンダーは、以下のとおりである。

  • Adobe:Photoshop/Illustrator/Commerce などの、多数のアプリケーションのセキュリティ更新をリリースした。
  • Cisco:Cisco Phone/Nexus Dashboard/Identity Services Engine などの、複数の製品に関するセキュリティ更新をリリースした。
  • Citrix:NetScaler ADC/NetScaler Gateway の脆弱性に対するセキュリティ更新をリリースした。また、Watchtowr が報告した、Citrix Virtual Apps and Desktops の問題に対してもアップデートもリリースした。
  • Dell:SONiC OS における、コード実行とセキュリティ・バイパスの欠陥に対して、セキュリティ・アップデートをリリースした。
  • D-Link:アカウント・パスワードの不正な変更を許してしまう、深刻な DSL6740C の脆弱性に対して、セキュリティ・アップデートをリリースした。
  • Google:Chrome 131 をリリースし、12件の脆弱性を修正した。ただし、ゼロデイは存在しない。
  • Ivanti:Ivanti Connect Secure (ICS)/Ivanti Policy Secure (IPS)/Ivanti Secure Access Client (ISAC) に存在する、25件の脆弱性に対するセキュリティ・アップデートをリリースした。
  • SAP:2024年11月 Patch Day の一環として、複数の製品に対するセキュリティ・アップデートをリリースした。
  • Schneider Electric:Modicon M340/Momentum/MC80 製品群の脆弱性に対するセキュリティ・アップデートをリリースした。
  • Siemens:TeleControl Server Basic に存在する、深刻な脆弱性 CVE-2024-44102 (CVSS:10) に対するセキュリティ・アップデートをリリースした。

November 2024 Patch Tuesday のフルリストは、ココで参照できる

今月の Patch Tuesday には、2件のエクスプロイトと、2件のゼロデイが含まれています。アップデートを忘れないよう、お気をつけください。よろしければ、Microsoft + 月例で検索も、ご利用ください。