マイクロソフト、10月の月例パッチでゼロデイ5件含む118件の脆弱性に対処(CVE-2024-43573、CVE-2024-43572他)
BleepingComputer – October 8, 2024
マイクロソフトは2024年10月の月例セキュリティ更新プログラムにおいて、ゼロデイ5件を含む118件の脆弱性に対処。ゼロデイのうちCVE-2024-43573とCVE-2024-43572については、すでに悪用が進行中だという。
※マイクロソフトは、公式パッチがリリースされる前に公に開示されたか、悪用が開始された脆弱性を「ゼロデイ」として分類している。
<悪用が検出されているゼロデイ>
- CVE-2024-43573:Windows MSHTMLプラットフォームにおけるスプーフィングの脆弱性。マイクロソフトは報告者が誰なのかも含め脆弱性に関する詳しい情報を共有していない上、どのように悪用されているのかも明かしていない。
- CVE-2024-43572:Microsoft 管理コンソールにおけるリモートコード実行の脆弱性で、悪意あるMSCファイルによるリモートコード実行の達成を可能にする恐れがある。実際の攻撃でどのように悪用されていたのかは明かされていない。
<悪用未検出のゼロデイ>
- CVE-2024-6197:オープンソースcURLにおけるリモートコード実行の脆弱性。cURLに悪意あるサーバーへの接続を試みさせることにより、コマンドの実行が可能になる恐れがある。技術的詳細が、研究者「z2_」氏により公開済み。
- CVE-2024-20659:Windows Hyper-Vにおけるセキュリティ機能バイパスの脆弱性。一部のハードウェア上でUEFIのバイパスが可能になる恐れがあるというもので、悪用が成功した場合、ハイパーバイザーおよびセキュアなカーネルの侵害に繋がる可能性がある。ただし、悪用にはデバイスへの物理アクセスが求められ、かつ当該デバイスをリブートする必要もあるとされる。
- CVE-2024-43583:Winlogonにおける特権昇格の脆弱性。悪用されると、攻撃者がWindowsのSYSTEM権限を取得できるようになる恐れがある。この脆弱性へ対処するためには、デバイス上でファーストパーティのIMEを有効化するという追加のアクションを取ることが求められる。
<Critical評価の脆弱性>
- CVE-2024-43468:Microsoft Configuration Managerにおけるリモートコード実行の脆弱性。認証されていない攻撃者は、特別に細工されたリクエストを標的環境へ送ることでこの脆弱性を悪用できる可能性があり、これが成功すると、サーバーや基盤のデータベース上でコマンドを実行できるようになる。CVSS 3.1のスコアは最大9.8だが、マイクロソフトの評価では悪用される可能性は低いとされる。
- CVE-2024-43488:Visual Studio CodeのArduino用拡張機能におけるリモートコード実行の脆弱性。マイクロソフトによって完全に緩和されているため、ユーザー側の対応は何も必要ないとされる。また、同拡張機能は推奨されていないものであることから、この脆弱性に対するパッチの提供は計画されていないとのこと。
- CVE-2024-43582:リモートデスクトッププロトコルサーバーにおけるリモートコード実行の脆弱性。認証されていない攻撃者がこれを悪用するためには、不適切に作成されたパケットをRPCホストに送る必要がある。これが成功すると、当該RPCサービスと同じ権限でのサーバーサイドにおけるリモートコード実行が可能になる。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠