火曜日のパッチマイクロソフトは火曜日、すでに攻撃を受けている 2 つのバグを含む自社製品の欠陥を修正する 100 件以上のセキュリティ アップデートをリリースしたほか、実際に悪用されている HTTP/2 の脆弱性にも対処しました。
最後の脆弱性(CVE-2023-44487、別名Rapid Reset)は、HTTP/2プロトコルの脆弱性であり、8月以降、大規模な分散型サービス拒否(DDoS)攻撃に悪用されています。Microsoft、Amazon、Google、Cloudflareはいずれも、サーバーを壊滅させるRapid Reset攻撃に対する緩和策をリリースしています。
さて、ここで、公知かつ悪用されているとされているMicrosoft固有のCVEについてお話しましょう。CVE-2023-36563は、Microsoft WordPadの情報漏洩バグであり、NTLMハッシュを盗むために悪用される可能性があります。
さようならWordPad、私たちはあなたがほとんど知らなかった
続きを読む
マイクロソフトによると、この脆弱性を悪用する方法は2つある。1つは、不正ユーザーまたは侵入されたユーザーとしてログインし、「脆弱性を悪用して影響を受けるシステムを制御できる、特別に細工されたアプリケーションを実行する」ことだ。もう1つは、被害者を騙して悪意のあるファイルを開かせることだ。「攻撃者は、通常は電子メールやインスタントメッセージでユーザーにリンクをクリックさせ、さらに特別に細工されたファイルを開かせる必要がある」とレドモンド氏は説明した。
Zero Day Initiative のダスティン・チャイルズ氏は、ソフトウェア修正の適用に加え、Windows 11 で送信方向の NTLM over SMB をブロックすることも推奨している。「この新機能はあまり注目されていないが、NTLM リレー攻撃を大幅に阻止できる可能性がある」とチャイルズ氏は書いている。
攻撃を受けている2番目のバグ、CVE-2023-41763は、Skype for Businessの権限昇格の脆弱性であり、情報漏洩を引き起こす可能性があります。
「攻撃者は、標的のSkype for Businessサーバーに特別に細工したネットワーク呼び出しを行うことで、任意のアドレス宛てのHTTPリクエストを解析できる可能性があります」とMicrosoftは記している。これにより、攻撃者はIPアドレスやポート番号などの機密情報を閲覧できる可能性があるものの、公開された情報に変更を加えることはできないとのことだ。
10月の新しいパッチのうち、13件は「緊急」と評価されたバグに対処しています。これには、リモートコード実行(RCE)とRapid Reset DDoS攻撃につながる12件が含まれます。残りは「重要」と評価されたセキュリティ上の欠陥です。
ZDIが指摘しているように、今回の最新アップデートにはメッセージキューイングに関するパッチが20件含まれており、最も深刻なCVE-2023-35349はCVSSの深刻度スコアで10点満点中9.8点を獲得しました。この問題はリモートコード実行(RCE)を許す可能性があり、悪用にはユーザーの操作は必要ありません。
「システムにインストールされているかどうかを必ず確認し、境界で TCP ポート 1801 をブロックすることを検討する必要があります」と Childs 氏は警告した。
もう一つの興味深い脆弱性、CVE-2023-36434 は、Windows IIS Server の権限昇格バグであり、CVSS スコア 9.8 を獲得しましたが、Microsoft からは「重要」というラベルしか付けられませんでした。
「マイクロソフトは、ブルートフォース攻撃が必要となるため、これを重大とは評価していないが、昨今、ブルートフォース攻撃は簡単に自動化できる」とチャイルズ氏は主張し、IIS ユーザーはこれを重大として扱い、早急にパッチを適用すべきだと付け加えた。
- 研究者がGNOMEコンポーネントを調査しながらLinuxのバグを2つ1つ発見
- 明日の最新カールは、過去最悪だったセキュリティ欠陥を修正する予定だ
- シスコ、緊急対応コードに重大な欠陥があると警告
- Apple、またセキュリティアップデート?テクノロジーのライバルに追いついているな
CVE-2023-36778も「重要」なバグであり、組織内でExchange Serverを運用している場合は、深刻度の高い脆弱性として扱う必要があります。これはMicrosoft Exchange Serverのリモートコード実行(RCE)であり、CVSS評価は8.0で、レドモンドから「悪用される可能性が高い」という警告が出されています。
このバグを悪用するには、攻撃者は認証され、ネットワークにローカルにいる必要がありますが、Immersive Labs の脅威調査シニアディレクターである Kev Breen 氏がThe Register に語ったところによると、これはソーシャルエンジニアリング攻撃によって簡単に達成できるとのことです。
「Exchange Server にインターネット向けの認証機能がないからといって、保護されているわけではない」と Breen 氏は説明し、Exchange Server へのこのレベルのアクセスによって、悪意のあるユーザーが「組織に多大な損害を与える」可能性があると付け加えた。
たとえば、「送受信されたすべてのメールを読んだり、特定のユーザーになりすましたりできるアクセス権を取得できれば、ビジネスメール詐欺攻撃が偽装アカウントからではなく、正当なメール所有者から行われるようになるため、金銭目的の犯罪者にとって有利になる可能性があります」とブリーン氏は警告した。
Citrixなどがパッチ適用に参加
Citrixは10月のパッチリリースで、NetScaler ADCおよびNetScaler Gatewayアプライアンスに深刻度9.4の重大な脆弱性を発見しました。CVE-2023-4966として追跡されているこの脆弱性により、脆弱なセキュリティアプライアンスで機密情報が漏洩する可能性があります。この脆弱性を悪用するためにユーザーの操作や権限は必要ありませんので、できるだけ早くパッチを適用することをお勧めします。
サービス拒否バグ CVE-2023-4967 もこれらの同じ Citrix アプライアンスに影響を及ぼし、CVSS 評価 8.2 を取得しました。
Adobeは、Bridge、Commerce、Photoshopにおける合計13件の脆弱性を修正する3件のセキュリティ情報を公開しました。Adobeは、これらの脆弱性を悪用した事例は確認されていないと述べています。
Adobe は Photoshop から始めて、任意のコード実行につながる可能性のある重大なバグ (CVE-2023-26370 として追跡) を修正しました。
一方、Commerce のアップデートでは、任意のコード実行、権限昇格、任意のファイル システムの読み取り、セキュリティ機能のバイパス、アプリケーションのサービス拒否につながる可能性のある 10 件の重大な脆弱性が修正されています。
最後に、Adobe は、メモリ リークにつながる可能性のある Bridge の 2 つの重要な脆弱性も修正しました。
SAP は本日、7 つのセキュリティ ノートと、以前にリリースされたノートの 2 つの更新をリリースしました。
これらの脆弱性の 1 つは、完璧な 10 CVSS スコアを獲得しました: Note 2622660、これは、サポートされている最新の Chromium パッチを含む進行中の更新です。
SAP は残りのパッチを中程度の優先度のパッチと評価しました。
Google の 10 月の Android セキュリティ情報は今月初めに公開され、以前の記事で述べたように、Arm ドライバのバグと重大なシステム欠陥 CVE-2023-4863 が「限定的かつ標的を絞った悪用」によって RCE につながる可能性があるという「兆候」について警告していました。
Google は今月の Android アップデートで合計 54 件の欠陥に対処しました。®
