2023年6月のPatch TuesdayでMicrosoftは5つの重大な脆弱性を公開、ゼロデイはなし

Cisco Talos Blog

blog.talosintelligence.com

2023年6月のPatch TuesdayでMicrosoftは5つの重大な脆弱性を公開、ゼロデイはなし

By Chetan Raghuprasad 2023年6月13日(火) 14:06 Patch Tuesday

Microsoftは月例のセキュリティ更新をリリース

  • Microsoftは、製品とソフトウェアの組み合わせにわたる69の脆弱性を公開しました。これらの脆弱性のうち5つは重大とされており、45つが高度の深刻度、17つが中程度の深刻度、2つが低深刻度とされています。
  • 過去4ヶ月間で初めて、Microsoftが今回のPatch Tuesdayで公開した脆弱性はどれも野生で悪用されていません。また、先月は3年ぶりの低さである40の脆弱性しか公開しなかったため、6月はMicrosoftのセキュリティ更新の平均月に近いです。

Cisco TalosがMicrosoft Excelの2つの脆弱性を発見

  • これらは、ターゲットとなるユーザーが攻撃者が作成したファイルを開くとトリガーされる、重要な深刻度のリモートコード実行脆弱性です。

Windows Pragmatic General Multicast (PGM) サーバー環境の三つの重大な脆弱性

  • CVE-2023-29363、CVE-2023-32014、CVE-2023-32015は、深刻度スコア9.8のリモートコード実行につながる可能性があります。
  • Windowsのメッセージキューサービスが動作しているWindows Pragmatic General Multicast (PGM) サーバー環境では、攻撃者は特製のファイルをネットワーク経由で送信し、リモートコードの実行を達成し、悪意のあるコードのトリガーを試みることができます。
  • Microsoftは、この脆弱性の悪用の深刻度を軽減するために、既存のデフォルト状態に存在する設定、標準的な設定、または一般的なベストプラクティスを参照するようにユーザーに助言しています。

Microsoft SharePoint Serverの権限昇格脆弱性

  • CVE-2023-29357は、深刻度スコアが9.8のMicrosoft SharePoint Serverの権限昇格脆弱性です。
  • この脆弱性を成功裏に悪用した攻撃者は、管理者レベルの権限を得ることができます。彼らは、JSON Web Token [JWT] 認証トークンの偽装にアクセスし、それらを使用して認証をバイパスし、認証済みユーザーの権限にアクセスを得るネットワーク攻撃を実行できるようになります。
  • 攻撃者は、この脆弱性を悪用するためにユーザーの介入を必要としません。Microsoftは、顧客がSharePoint Enterpriseサーバーのために提供されるすべての更新を適用するようアドバイスしています。オンプレミスの顧客はAMSI機能を有効にすることで、この脆弱性から保護することができます。

Microsoftが“より可能性が高い”と考えるいくつかの高深刻度の脆弱性

  • 高深刻度のリモートコード実行脆弱性、CVE-2023-28310はMicrosoft Exchange Serverに存在します。同一のイントラネット上の認証済み攻撃者は、PowerShellリモートセッションを通じてリモートコードの実行を達成できます。
  • CVE-2023-29358は、Windowsグラフィックデバイスインターフェース(GDI)の権限昇格脆弱性で、Win32kカーネルドライバーの使用後解放脆弱性です。この脆弱性を成功裏に悪用した攻撃者は、SYSTEM特権を得ることができます。
  • CVE-2023-29361も、Windows Cloud Files Mini Filter Driverの使用後解放問題を悪用することで攻撃者がSYSTEM特権を得る可能性があります。
  • Microsoft Exchangeサーバーには、深刻度スコア8.8の高深刻度のリモートコード実行脆弱性、CVE-2023-32031が含まれています。攻撃者がこの脆弱性を成功裏に悪用すると、サーバーアカウントを任意のコード実行またはリモートコード実行でターゲットにすることができます。認証済みのユーザーとして、攻撃者はネットワーク呼び出しを通じてサーバーのアカウントの文脈で悪意のあるコードをトリガーしようと試みることができます。
  • "重要"とされるものの、Windows Win32kカーネルドライバーに存在する別の権限昇格脆弱性、CVE-2023-29371があります。攻撃者はcCurvesの値を更新せずにカーブを変更することができ、これによりカーブのエッジが処理される際にwin32kfullでの範囲外書き込みが発生し、最終的に彼らはシステム特権を得ることができます。

注目すべき中深刻度の脆弱性

  • CVE-2023-29352は、Windows Remote Desktopのセキュリティ機能バイパス脆弱性です。攻撃者がこの脆弱性を成功裏に悪用すると、リモートデスクトップ接続時に証明書の検証をバイパスし、実行時に警告プロンプトをバイパスする有効に署名された“.RDP”ファイルを作成することができます。

Microsoftが今月公開したすべての脆弱性の完全なリスト

  • これはMicrosoftの更新ページで利用可能です。

これらの脆弱性の開示に対する対応としてTalosが新たにリリースするSnortルールセット

  • これらの一部を悪用する試みを検出します。追加のルールが将来的にリリースされる可能性があり、現行のルールは追加情報を待って変更される可能性があることに注意してください。
  • Cisco Secure Firewallの顧客は、最新の更新を彼らのルールセットに適用することによって使用するべきです。オープンソースSnort Subscriber Rule Setの顧客は、Snort.orgで販売されている最新のルールパックをダウンロードすることで最新の情報を得られます。
  • このリリースに含まれるルールには、これらの脆弱性の多くに対する悪用を防ぐ61907 - 61911、61915、61916、61933 - 61935、61937 - 61939が含まれています。
  • この記事は時間が経つにつれて更新され、新たな情報が入手できることがあります。最新の情報を得るためには、定期的にこのページを確認してください。