月例パッチ:マイクロソフト、悪用確認済みのゼロデイをようやく修正(CVE-2023-36884) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 月例パッチ:マイクロソフト、悪用確認済みのゼロデイをようやく修正(CVE-2023-36884)

Threat Report

Silobreaker-CyberAlert

月例パッチ:マイクロソフト、悪用確認済みのゼロデイをようやく修正(CVE-2023-36884)

佐々山 Tacos

佐々山 Tacos

2023.08.09

月例パッチ:マイクロソフト、悪用確認済みのゼロデイをようやく修正(CVE-2023-36884)

マイクロソフトは8日、2023年8月の月例セキュリティ更新プログラムを公開し、脆弱性74件に対処した。これには、実際の攻撃で悪用されていたことが先月明かされていたゼロデイ脆弱性CVE-2023-36884や、同じく悪用が報じられている別の脆弱性CVE-2023-38180も含まれる。

Windows Searchのゼロデイ脆弱性CVE-2023-36884

今回の月例パッチで対処された脆弱性の中でも特に注目に値するのが、Windows Searchにおけるリモートコード実行のゼロデイ脆弱性、CVE-2023-36884。同脆弱性については先月、脅威アクター「Storm-0978」(DEV-0978、RomCom)によるフィッシングキャンペーンで悪用されていたことがマイクロソフトにより明かされていた。7月のその時点ではまだパッチは公開されず、緩和策のみが提供されていたが、今回8月の月例パッチでようやく修正された。また、同脆弱性の悪用を予防するためのMicrosoft Office向け多層防御アップデートも提供されている。

関連記事:「OfficeのゼロデイがNATOサミット関連の攻撃で悪用されている」とマイクロソフト:CVE-2023-36884

.NETとVisual Studioの脆弱性CVE-2023-38180

今月の月例パッチでは、.NETアプリケーションとVisual Studioに影響を与えるDoSの脆弱性CVE-2023-38180も修正された。マイクロソフトは、アドバイザリにおいてこの脆弱性が悪用されている事実を伝えているものの、どのように悪用されているのかや、誰によって発見されたものなのかといった詳細の公表は現時点ではしていない。

迅速なパッチ適用を

上記2件のほか、今回の月例修正プログラムでは、Edge(Chromiumベース)、Exchange Server、Azure DevOps、Teams、Windows Defenderなどの脆弱性も修正されている。悪用が確認済みのCVE-2023-36884やCVE-2023-38180に加え、深刻度が「Critical(緊急)」とされるCVE-2023-36895(OutlookのRCE)、CVE-2023-29328(TeamsのRCE)、CVE-2023-29330(TeamsのRCE)、CVE-2023-35385(Windows Message QueuingのRCE)、CVE-2023-36911(Windows Message QueuingのRCE)、CVE-2023-36910(Windows Message QueuingのRCE)の6件については、迅速な修正プログラムの適用が推奨される。

 

(情報源:SecurityWeek ”Patch Tuesday: Microsoft (Finally) Patches Exploited Office Zero-Days”、BleepingComputer “Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws”、BleepingComputer “Microsoft Office update breaks actively exploited RCE attack chain”)

8月9日:その他の注目ニュース

IDベースの攻撃がここ1年で急増:CrowdStrikeの脅威ハンティングレポートが示す

SecurityWeek – August 8, 2023

CrowdStrikeは9日、新たなレポート「2023 Threat Hunting Report」を公開。これによれば、2022年7月1日から2023年6月30日までの12か月間にかけて収集されたデータを検証した結果、有効なアカウントを悪用した攻撃など、IDベースの攻撃が倍増していることが明らかになったのだという。またID関連の脅威に加え、レポートではサイバー犯罪グループが用いる技術・戦術、LinuxやmacOS関連のトレンドといった事項も取り上げられている。

ID関連の攻撃について特に注目に値するのが、Kerberoasting攻撃が583%も増加している点。Kerberoastingとは、ネットワーク認証プロトコルであるKerberosを悪用するポストエクスプロイトの手法で、権限昇格やラテラルムーブメントなどの用途で利用されるもの。なお、過去1年間のKerberoasting攻撃の27%は、ロシア語話者のランサムウェアグループVice SpiderとVice Societyが関与するものだったとされる。

また、クラウドインスタンスのメタデータAPIを使ってシークレットキーやその他の認証情報を収集しようとする活動が160%増加したこと、そしてPass-the-Hash(パス・ザ・ハッシュ)攻撃が前年比で200%増加したことなども報告された。

このほか、CrowdStrikeは同レポートにおいてダークウェブ上の初期アクセスブローカーに関する広告が147%増加したことや、正規のRMM(リモート監視・管理)ツールの使用が300%以上増加したことなど、興味深い事実を多数伝えている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ