マイクロソフト、73のセキュリティ脆弱性に対応するパッチを緊急リリース

Last Updated on 2024-07-13 08:15 by 門倉 朋宏

2024年2月、マイクロソフトは、同社のソフトウェアラインナップにわたる73のセキュリティ欠陥に対処するパッチをリリースした。これは、2月のパッチ火曜日のアップデートの一環であり、その中には現在アクティブに悪用されている2つのゼロデイ脆弱性が含まれている。73の脆弱性のうち、5つが「重大」、65つが「重要」、3つが「中程度」の重要度と評価されている。これに加えて、1月24日のパッチ火曜日のアップデート以降、ChromiumベースのEdgeブラウザで修正された24の欠陥もある。

アクティブに攻撃されているとリストされている2つの脆弱性は以下の通りである。
– CVE-2024-21351 (CVSSスコア: 7.6) – Windows SmartScreenセキュリティ機能バイパス脆弱性
– CVE-2024-21412 (CVSSスコア: 8.1) – インターネットショートカットファイルセキュリティ機能バイパス脆弱性

CVE-2024-21351の脆弱性は、悪意のあるアクターがSmartScreenにコードを注入し、コード実行を可能にする可能性がある。攻撃が成功すると、攻撃者はSmartScreenの保護を回避し、任意のコードを実行できる。CVE-2024-21412は、認証されていない攻撃者が特別に作成されたファイルを送信することで、表示されるセキュリティチェックをバイパスできる。

また、マイクロソフトは5つの重大な脆弱性も修正した。
– CVE-2024-20684 (CVSSスコア: 6.5) – Windows Hyper-Vサービス拒否脆弱性
– CVE-2024-21357 (CVSSスコア: 7.5) – Windows Pragmatic General Multicast (PGM) リモートコード実行脆弱性
– CVE-2024-21380 (CVSSスコア: 8.0) – Microsoft Dynamics Business Central/NAV情報開示脆弱性
– CVE-2024-21410 (CVSSスコア: 9.8) – Microsoft Exchange Server権限昇格脆弱性
– CVE-2024-21413 (CVSSスコア: 9.8) – Microsoft Outlookリモートコード実行脆弱性

CVE-2024-21410は、Microsoft Exchange Serverにおける権限昇格の脆弱性であり、攻撃者によって悪用される可能性が高いとマイクロソフトは述べている。この脆弱性を悪用することで、攻撃者は対象のユーザーのNet-New Technology LAN Manager (NTLM) バージョン2ハッシュを開示し、脆弱なExchange Serverに対してNTLMリレー攻撃またはパス・ザ・ハッシュ攻撃を行い、対象のユーザーとして認証することができる。

さらに、CVE-2023-50387 (CVSSスコア: 7.5)、DNSSEC仕様における24年前の設計上の欠陥も修正された。この脆弱性は、CPUリソースを消耗させ、DNSリゾルバーを停止させることでサービス拒否(DoS)を引き起こすことができる。

マイクロソフト以外にも、Adobe、AMD、Android、Arm、ASUS、Atos、Canon、Cisco、Dell、Drupal、ExpressVPN、F5、Fortinet、GitLab、Google Chrome、Google Cloud、Hitachi Energy、HP、IBM、Intel、ISC BIND 9、Ivanti、JetBrains TeamCity、Juniper Networks、Lenovo、Linuxディストリビューション（Debian、Oracle Linux、Red Hat、SUSE、Ubuntu）、Mastodon、MediaTek、Mitsubishi Electric、Mozilla Firefox、Firefox ESR、Thunderbird、NVIDIA、PowerDNS、QNAP、Qualcomm、Rockwell Automation、Samsung、SAP、Schneider Electric、Siemens、SolarWinds、SonicWall、Spring Framework、Synology、Veeam、Veritas、VMware、WordPress、Zoom、Zyxelなど、他のベンダーからもセキュリティアップデートがリリースされている。

【ニュース解説】

2024年2月、マイクロソフトは、同社の幅広いソフトウェア製品にわたる73のセキュリティ脆弱性に対するパッチをリリースしました。このアップデートには、現在アクティブに悪用されている2つのゼロデイ脆弱性が含まれており、セキュリティ専門家やユーザーから注目されています。

ゼロデイ脆弱性とは、公に知られる前に悪意のある者によって悪用されるセキュリティ上の欠陥を指します。このような脆弱性は、パッチがリリースされるまでの間、防御が困難であるため、特に危険視されます。

今回修正された2つのゼロデイ脆弱性は、Windows SmartScreenとインターネットショートカットファイルのセキュリティ機能をバイパスするもので、攻撃者が悪意のあるコードを実行することを可能にします。これらの脆弱性を悪用するには、攻撃者はユーザーに悪意のあるファイルを開かせる必要がありますが、成功すればシステムの制御を奪うことができます。

また、今回のアップデートでは、重大な脆弱性5件を含む他の多数の脆弱性も修正されました。これらの脆弱性を悪用されると、サービス拒否攻撃やリモートコード実行、情報漏洩など、さまざまなセキュリティ上のリスクが生じる可能性があります。

このようなセキュリティアップデートのリリースは、サイバーセキュリティの維持において非常に重要です。攻撃者は常に新しい脆弱性を探し、悪用しようとするため、ソフトウェアベンダーは定期的にセキュリティパッチを提供し、ユーザーはこれらのパッチを迅速に適用する必要があります。

このニュースは、サイバーセキュリティの重要性を再認識させるものであり、企業や個人ユーザーにとって、セキュリティ対策の強化と定期的なアップデートの適用がいかに重要かを示しています。また、ゼロデイ脆弱性の存在は、サイバー攻撃の脅威が常に進化していることを物語っており、セキュリティ対策の継続的な見直しと更新が必要であることを強調しています。

最後に、マイクロソフトだけでなく、他の多くのベンダーからもセキュリティアップデートがリリースされていることから、ソフトウェアやデバイスのセキュリティ状態を常に最新に保つことの重要性が浮き彫りになります。これらのアップデートを適用することで、サイバー攻撃のリスクを軽減し、安全なデジタル環境を維持することができます。

from Microsoft Rolls Out Patches for 73 Flaws, Including 2 Windows Zero-Days.