マイクロソフト、悪用されているゼロデイ2件など脆弱性73件を修正：CVE-2024-21351、CVE-2024-21412ほか

2月14日： サイバーセキュリティ関連ニュース

マイクロソフト、月例パッチで悪用されているゼロデイ2件など脆弱性73件を修正：CVE-2024-21351、CVE-2024-21412ほか

BleepingComputer – February 13, 2024

マイクロソフトが2024年2月の月例セキュリティ更新プログラムをリリース。攻撃で悪用されているゼロデイ2件を含む73件の脆弱性に対処した。このうち5件は深刻度が「Critical（緊急）」と評価されており、DoSやリモートコード実行、情報開示、特権昇格に繋がる恐れがある（CVE-2024-21380、CVE-2024-21410、CVE-2024-21413、CVE-2024-20684、CVE-2024-21357）。

悪用されているゼロデイは以下の2件：

• CVE-2024-21351（CVSS 7.6） – Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性。これを悪用するには、攻撃者は権限を持った状態でユーザーに悪意あるファイルを送り、ユーザーを説得してこれを開かせねばならない。マイクロソフトは、この脆弱性がどのように、またどの脅威アクターによって悪用されているのかを明かしていない。
• CVE-2024-21412（CVSS 8.1） – インターネット ショートカット ファイルにおけるセキュリティ機能バイパスの脆弱性。Windowsの警告機能Mark of the Web（MOTW）のバイパスを可能にし得る脆弱性で、認証されていない攻撃者は、特別に細工されたファイルを標的ユーザーに送りつけ、ユーザーを説得してファイルリンクをクリックさせることによりこれを悪用できる。この脆弱性に関しては、発見者であるトレンドマイクロの研究者がレポートをリリースし、APTグループDarkCasino（別称Water Hydraによる同脆弱性悪用の詳細について伝えている。

（Update：2月15日）

上記2件に加え、マイクロソフトは新たにExchange Serverにおける特権昇格の脆弱性CVE-2024-21410もゼロデイとして悪用されていたことを明かしている。詳しくはこちら：Exchangeの脆弱性CVE-2024-21410はゼロデイとして悪用されていた、マイクロソフトが公表

（Update：2月29日）

マイクロソフトは28日、2月の月例パッチで修正されていたカーネル特権昇格の脆弱性CVE-2024-21338のアドバイザリを更新し、同脆弱性が実際の攻撃で悪用されている旨を新たに記載した。Avastは、北朝鮮のハッカーグループLazarusが同脆弱性を悪用していたと報告している。詳しくは以下の記事で：

CVE-2023-50358：QNAP NASデバイスに新たなゼロデイ脆弱性

SecurityOnline.Info – FEBRUARY 13, 2024

QNAPのNASデバイスに、新しく深刻なゼロデイ脆弱性の存在が明らかになった。当該のゼロデイCVE-2023-50358はQNAP QTS ファームウェアの「quick.cgi」というコンポーネントに存在するOSコマンドインジェクションの脆弱性で、攻撃者によるリモートコマンド実行を可能にし得るほか、脆弱なシステムの完全な乗っ取りまでをも可能にする恐れがある。Unit 42（Palo Alto Networks）の報告によれば、同脆弱性は既に実際の攻撃で悪用されているという。

QNAPは事態の重大性を認識した上で速やかにセキュリティアドバイザリを公開しており、ユーザーに最新バージョン（QTS 5.1.5またはQuTS hero h5.1.5）へのアップデートを呼びかけている。またユーザーが自身で脆弱性のステータスを確認できるよう、簡易的なセルフテスト用URL（https://<NAS IP address>:<NAS system port>/cgi-bin/quick/quick.cgi）も提供した。

なおUnit 42はレポートの中で、2024年1月中旬の1週間の間に検出された脆弱なNASデバイスは「289,665」件（重複なし）あったことも伝えている。レポート内のグラフによれば、脆弱なデバイスの所在国のトップ5はドイツ（42,535）、米国（36,865）、中国（30,845）、イタリア（17,266）、日本（12,876）となっている。