Microsoft クラウドで発見／修正された３件の脆弱性：それぞれに CVE が採番された

Microsoft Patches Exploited Vulnerability in Partner Network Website

2024/11/28 SecurityWeek — 11月28日 (火) に Microsoft がユーザーに公表したのは、Cloud／AI などのサービスに影響を及ぼす脆弱性の、修正および悪用に関する通知である。同社は、Azure／Copilot Studio／Partner Network Web Site の脆弱性を修正したが、ユーザーを・サイドで行うべきことはなく、透明性のためだけに CVE 識別子とアドバイザリが公開された。

この通知において Microsoft は、それぞれの脆弱性ごとに個別のアドバイザリを公開している。それらは、権限昇格の脆弱性であり、CVSS スコアに基づく深刻度は、２件が High であり、１件が Critical となっている。

Partner Network Web サイトの脆弱性 CVE-2024-49035

Partner Network Web サイトである “partner.microsoft.com” ドメインに生じた、認証を必要としない攻撃者に対して、ネットワーク上での権限昇格を許す、不適切なアクセス制御の脆弱性 CVE-2024-49035 (High) も対処された。

この脆弱性に対しては、”Exploited” がマークされている。Microsoft は SecurityWeek に対して、実際に悪用が検出されたことを認めているが、追加情報は共有していない。

Microsoft はアドバイザリには、「この CVE は、Microsoft Power Apps オンライン・バージョンの脆弱性だけに対応するものだ。したがって、数日をかけて自動的にアップデート・リリースが展開されるため、ユーザー・サイドででは何もする必要がない」と記されている。

この脆弱性を発見したのは、Microsoft の２名の従業員と１名の匿名の研究者である。この脆弱性の悪用について、公開された情報は存在しないようだ。なお、このアドバイザリが公開された当初の、悪用可能性評価は “Exploitation Detected” だったが、悪用フィールドの値が “No” であったことから、誤って “Exploited” フラグ付けられた可能性があると捉える、業界関係者者もいたようだ。Microsoft は SecurityWeek からの連絡を受けて、アドバイザリの悪用フィールド値を “Yes” に修正した。

この “partner.microsoft.com” ドメインは、Microsoft のバグ・バウンティ・プログラムでは、対象外リストに分類されている。

Copilot Studio の脆弱性 CVE-2024-49038

今週に修正された脆弱性の中で、最も深刻なものは CVE-2024-49038 である。この脆弱性は、Copilot Studio に存在する、クロス・サイト・スクリプティング (XSS) の欠陥である。ユーザーによる Copilot のカスタマイズ／作成を、生成 AI により支援するのが Copilot Studioである。

Microsoft のアドバイザリには、「Copilot Studio での Web ページ生成中に、不正な無効化が実行されることで XSS が発生し、ネットワーク上での権限昇格の可能性へといたる」と記されている。

Azure の脆弱性 CVE-2024-49052

Azure で発見／修正されたのは、脆弱性 CVE-2024-49052 である。この脆弱性は、Azure PolicyWatch の重要な機能に影響を及ぼす認証不足の欠陥であり、悪用に成功した攻撃者に対して、ネットワーク上での権限昇格を許すものだ。

その他の脆弱性

さらに Microsoft は、営業担当者向けの管理ソリューションである、Dynamics 365 Sales に存在する XSS の脆弱性も修正したと発表している。この脆弱性を悪用する攻撃者は、特別に細工されたリンクをユーザーにクリックさせることで、被害者のブラウザー上で悪意のスクリプトを実行できる。

その影響の範囲は iOS／Android アプリとなるが、脆弱性自体は Web サーバ上に存在する。ただし Microsoft のアドバイザリでは、ユーザーの介入は不要であると明記されていないため、ユーザーによるアプリの更新が必要なのかもしれない。今年の初めに Microsoft が決定したのは、ユーザー対応を必要としないクラウド・サービスの脆弱性に対して、透明性を確保するために CVE 識別子を割り当てることだ。ただし、ユーザー・サイドにおいて、時間や労力を無駄にしたくない場合は、これらのタイプの情報はフィルタリングできる。

先日には Google Cloud も、ユーザー・サイドにおけるパッチ適用などの実施が不要な場合であっても、自社クラウドで発見された深刻な脆弱性に治して、CVE 識別子を割り当てることを発表している。

文中の３つのリンク先ですが、それぞれがクラウド・サービスの脆弱性レポートであり、それぞれに CVE が採番されていました。なんとなく、嬉しいですね。よろしければ、2024/06/30 の「Microsoft の大転換：クラウドの脆弱性に対しても CVE を発行する！」と、2024/11/13 の「Google Cloud の新たな取組：クラウド脆弱性に対する CVE の割り当てを開始」を、ご参照ください。