マイクロソフト月例パッチ：悪用されているゼロデイ含む脆弱性71件に対処（CVE-2024-49138ほか）

マイクロソフト、月例パッチで悪用されているゼロデイ含む脆弱性71件に対処（CVE-2024-49138ほか）

Help Net Security – December 10, 2024

マイクロソフトは2024年12月の月例セキュリティ更新プログラムにおいて、71件の脆弱性に対処。これには、攻撃で悪用されているゼロデイCVE-2024-49138が含まれる。

悪用されているゼロデイ：CLFSドライバーの特権昇格

CVE-2024-49138は、Windows 共通ログファイル システム（CLFS）ドライバーにおける特権昇格の脆弱性。CLFSドライバーにおけるヒープベースのバッファオーバーフローに起因するもので、攻撃者による悪用が成功した場合、ターゲットホスト上でのSYSTEM権限取得が可能になる恐れがあるとされる。CVSS 3.1のスコアは7.8で、マイクロソフトによる深刻度評価は「Important（重要）」。

ランサムウェア攻撃で利用されている可能性も

この脆弱性がどのような攻撃で悪用されているのかなどの詳細は現時点で明かされていないが、Tenable社のシニアリサーチエンジニアであるSatnam Narang氏は、過去に悪用されていたCLFSドライバーの脆弱性を踏まえ、特に特権昇格の脆弱性がここ数年でランサムウェアオペレーターが好んで悪用してきた点を強調。今回のCVE-2024-49138についてもランサムウェア攻撃で悪用されている可能性があることを示唆した。またトレンドマイクロのZero Day Initiativeで脅威アウェアネス部門のヘッドを務めるDustin Childs氏も、「これは特権昇格の脆弱性であるため、システム乗っ取りのためにコード実行のバグと合わせて利用されている可能性が高い」と指摘。その上で、「こうした戦術はランサムウェア攻撃や標的型フィッシングキャンペーンでよく見受けられる」と述べている。

その他の注目すべき脆弱性

また、今回の月例パッチで修正されたその他の脆弱性の中でも、特に緊急の対応が必要と思われるのが以下の3件だという。

• CVE-2024-49112（CVSS 3.1スコア 9.8、Critical/緊急）：Windows Lightweight Directory Access Protocol（LDAP）におけるリモートコード実行の脆弱性。認証されていないリモートの攻撃者によって、特別に細工された一連のLDAPコールを用いて悪用される恐れがあり、悪用が成功すると、LDAPサービスのコンテクスト内で任意のコードを実行できるようになるという。

• CVE-2024-49114（CVSS 3.1スコア 7.8、Important/重要）：Windows Cloud Files Mini Filterにおける特権昇格の脆弱性。同期の欠如に起因するもので、攻撃者に悪用された場合、SYSTEM権限の取得が可能になる恐れがある。攻撃での悪用はまだ観測されていないが、マイクロソフトはこの脆弱性の悪用可能性を「More Likely」と評価していることから、早急な対応が求められる。

• CVE-2024-49093（CVSS 3.1スコア 8.8、Important/重要）：Resilient File System（ReFS）における特権昇格の脆弱性。この脆弱性を悪用するには攻撃者はまずシステムへログオンする必要があるが、悪用が成功すればSYSTEM権限の取得が可能になるとされる。この脆弱性についても、悪用可能性は「More Likely」と評価されている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート