Windows 向けの 2023 年 1 月火曜日のパッチ、現在悪用されている 1 件のゼロデイ脆弱性とその他 98 件の脆弱性を修正

この記事では、 Microsoft のPatch Tuesdayパッチに関する最新情報をまとめます。ぜひフォローしてください。

パッチ 2023 年 1 月火曜日

2023 年 1 月 10 日火曜日、Microsoft は、Windows オペレーティング システム上で積極的に悪用されているゼロデイ脆弱性とその他合計 98 件の脆弱性を修正する 2023 年 1 月のパッチ火曜日をリリースしました。

これは 2023 年の最初の火曜日のパッチであり、なんと 98 件の脆弱性が修正され、そのうち 11 件が「緊急」と評価されています。

通常、ハッカーがリモートからコードを実行したり、セキュリティ機能をバイパスしたり、権限を昇格したりできる脆弱性がある場合、Microsoft はその脆弱性を「緊急」と評価します。

種類ごとの脆弱性の数は以下のとおりです。

• 39 件の権限昇格の脆弱性
• 4 つのセキュリティバイパスの脆弱性
• 33 件のリモートコード実行の脆弱性
• 10 件の情報漏洩の脆弱性
• 10 件のサービス拒否の脆弱性
• 2 つのなりすましの脆弱性

今月の Patch Tuesday は、積極的に悪用されているゼロデイ脆弱性を修正し、また、公開されている別のゼロデイ脆弱性も修正します。

Microsoft では、脆弱性が公開されている場合、または正式な修正が行われずに悪用されている場合、その脆弱性をゼロデイとみなします。

現在悪用され、パッチが適用されたゼロデイ脆弱性は次のとおりです。

• CVE-2023-21674 - Windows Advanced Local Procedure Call (ALPC) の特権昇格の脆弱性は、アバストの研究者 Jan Vojtěšek、Milánek、Przemek Gmerek によって発見されました。 Microsoftは、これはサンドボックスエスケープの脆弱性であり、特権昇格攻撃につながる可能性があるとしている。 「ハッカーがこの脆弱性の悪用に成功すると、システムレベルの権限を取得する可能性がある」とMicrosoftは述べた。ハッカーがこの脆弱性をどのように攻撃に悪用するかは現時点では不明です。

Microsoft はまた、Akamai の専門家によって発見された脆弱性CVE-2023-21549 - Windows SMB Witness Service Elevation of Privilege Vulnerability が公開 されたと発表しました。

しかし、Akamai のセキュリティ研究者 Stiv Kupchik 氏は、通常の開示手順に従っていたため、この脆弱性は公開されたものとして分類されるべきではないと述べました。

パッチ 2022 年 12 月火曜日

2022 年 12 月のパッチ火曜日アップデートで、Microsoft は、悪用された脆弱性を含む 2 つの重大なゼロデイ脆弱性と、その他合計 49 件の脆弱性に対するパッチをリリースしました。

新たにパッチが適用された 49 件の脆弱性のうち 6 件は、最も危険な種類の脆弱性の 1 つであるリモートでコードが実行される可能性があるため、「緊急」に分類されています。

種類ごとの脆弱性の数は以下のとおりです。

• 19 件の権限昇格の脆弱性
• 2 つのセキュリティバイパスの脆弱性
• 23件のリモートコード実行の脆弱性
• 3 情報漏えいの脆弱性
• 3 つのサービス拒否の脆弱性
• 1 なりすましの脆弱性

上記のリストには、12 月 5 日にパッチが適用された Microsoft Edge の 25 件の脆弱性は含まれていません。

2022 年 12 月の火曜日のパッチでは 2 つのゼロデイ脆弱性が修正されており、そのうちの 1 つはハッカーによって積極的に悪用されており、もう 1 つは公的に発表されています。 Microsoft では、公式パッチが提供されていない状態で脆弱性が公開されたり、積極的に悪用されたりした場合、その脆弱性をゼロデイと呼びます。

最近パッチが適用された 2 つのゼロデイ脆弱性は次のとおりです。

• CVE-2022-44698: Windows SmartScreen セキュリティ機能バイパスの脆弱性が研究者の Will Dormann によって発見されました。 「攻撃者は、Mark of the Web (MOTW) 保護をバイパスする悪意のあるファイルを作成し、その結果、MOTW のタグ付けに依存する Microsoft Office の保護ビューなどのセキュリティ機能の整合性と可用性が失われる可能性があります。」ハッカーは、不正な形式の署名で署名されたスタンドアロンの悪意のある JavaScript ファイルを作成することで、この脆弱性を悪用する可能性があります。この方法で署名すると、SmartCheck が失敗し、MOTW セキュリティ警告が表示されなくなり、悪意のあるファイルが自動的に実行され、悪意のあるコードがインストールされる可能性があります。ハッカーは、QBot トロイの木馬や Magniber Ransomware 配布キャンペーンなどのマルウェア配布キャンペーンでこの脆弱性を積極的に悪用しています。
• CVE-2022-44710: DirectX グラフィックス カーネルの特権昇格の脆弱性が研究者の Luka Pribanić によって発見されました。この脆弱性の悪用に成功すると、システム レベルの権限が取得される可能性があります。

パッチ 2022 年 11 月火曜日

2022 年 11 月のパッチ火曜日アップデートが Microsoft によってリリースされ、ハッカーによって悪用されている 6 件の脆弱性と、その他合計 68 件の脆弱性にパッチが適用されます。

今回パッチされた68件の脆弱性のうち11件は、最も厄介なタイプの脆弱性の1つである権限昇格、改ざん、リモートでのコード実行を可能にするため、「緊急」と評価されている。

種類ごとの脆弱性の数は以下のとおりです。

• 27 件の権限昇格の脆弱性
• 4 つのセキュリティバイパスの脆弱性
• 16 件のリモートコード実行の脆弱性
• 11 件の情報漏えいの脆弱性
• 6 つのサービス拒否の脆弱性
• 3 つのなりすましの脆弱性

上記のリストには、11 月 2 日に公開された 2 つの OpenSSL 脆弱性は含まれていません。

今月の Patch Tuesday では、現在悪用されている 6 つのゼロデイ脆弱性が修正され、そのうちの 1 つは一般に公開されています。

悪用されパッチが適用されている 6 つのゼロデイ脆弱性は次のとおりです。

• CVE-2022-41128: Windows スクリプト言語のリモート コード実行の脆弱性は、Google 脅威分析グループの Clément Lecigne によって発見されました。この脆弱性により、影響を受けるバージョンの Windows を使用しているユーザーは悪意のあるサーバーにアクセスする必要があります。攻撃者は悪意のあるサーバーまたは Web サイトを作成する可能性があります。攻撃者がユーザーを悪意のあるサーバーに強制的にアクセスさせる方法はありませんが、フィッシングメールやテキストメッセージを通じてユーザーをだましてアクセスさせることはできます。
• CVE-2022-41091: Windows マークの Web セキュリティ機能バイパスの脆弱性が Will Dormann によって発見されました。攻撃者は、Mark of the Web (MOTW) 保護をバイパスする悪意のあるファイルを作成し、タグ MOTW に依存する Microsoft Office の保護ビューなどのセキュリティ機能の整合性と可用性を失う可能性があります。
• CVE-2022-41073: Windows 印刷スプーラーの特権昇格の脆弱性が Microsoft Threat Intelligence Center (MSTIC) によって発見されました。攻撃者がこの脆弱性の悪用に成功すると、システム権限を取得する可能性があります。
• CVE-2022-41125: Windows CNG キー分離サービスの特権昇格の脆弱性が、Microsoft Threat Intelligence Center (MSTIC) および Microsoft Security Response Center (MSRC) によって発見されました。攻撃者がこの脆弱性の悪用に成功すると、システム権限を取得する可能性があります。
• CVE-2022-41040: Microsoft Exchange Server の特権昇格の脆弱性が GTSC によって発見され、Zero Dat イニシアチブを通じて公開されました。特権を持つ攻撃者は、システムのコンテキストで PowerShell を実行する可能性があります。
• CVE-2022-41082: Microsoft Exchange Server のリモート コード実行の脆弱性が GTSC によって発見され、Zero Dat イニシアチブを通じて公開されました。攻撃者がこの脆弱性を悪用すると、サーバー アカウントが標的となり、任意のコードまたはリモート コードが実行される可能性があります。認証されたユーザーとして、攻撃者はネットワーク コマンドを介してサーバー アカウントのコンテキストで悪意のあるコードを実行する可能性があります。

パッチ 2022 年 10 月火曜日

予定通り、悪用されたゼロデイ脆弱性とその他 84 件の脆弱性を修正するために、2022 年 10 月のパッチ火曜日アップデートが Microsoft によってリリースされました。

今回の更新でパッチされた 84 件の脆弱性のうち 13 件は、ハッカーによる特権昇格攻撃、改ざん、またはリモートでのコード実行を可能にするため、最も深刻な種類の脆弱性の 1 つである「緊急」に分類されています。

種類ごとの脆弱性の数は以下のとおりです。

• 39 件の権限昇格の脆弱性
• 2 つのセキュリティバイパスの脆弱性
• 20件のリモートコード実行の脆弱性
• 11 件の情報漏えいの脆弱性
• 8 つのサービス拒否の脆弱性
• 4 つのなりすましの脆弱性

上記のリストには、10 月 3 日にパッチが適用された Microsoft Edge の 12 件の脆弱性は含まれていません。

2022 年 10 月の火曜日のパッチでは、攻撃に積極的に悪用されている脆弱性と、一般に公開されている脆弱性の 2 つのゼロデイ脆弱性にパッチが適用されます。

Microsoft では、公式パッチが提供されていない状態で脆弱性が公開されたり、積極的に悪用されたりした場合、その脆弱性をゼロデイと呼びます。

新たにパッチが適用され、積極的に悪用されたゼロデイ脆弱性には追跡コード CVE-2022-41033 があり、特権昇格の脆弱性、つまり Windows COM + イベント システム サービスの特権昇格の脆弱性です。

Microsoftは「ハッカーがこの脆弱性の悪用に成功すると、システム権限を取得する可能性がある」と述べた。匿名の研究者がこの脆弱性を発見し、Microsoft に報告しました。

公開されたゼロデイ脆弱性は CVE-2022-41043 として追跡されており、情報漏えいの脆弱性である Microsoft Office の情報漏えいの脆弱性です。これは SpecterOps の Cody Thomas によって発見されました。

Microsoftは、攻撃者がこの脆弱性を悪用してユーザーの認証トークンにアクセスする可能性があると述べた。

残念ながら、このパッチ火曜日アップデートには、Microsoft Exchange のゼロデイ脆弱性 CVE-2022-41040 および CVE-2022-41082 に対するパッチが含まれていませんでした。これらは ProxyNotShell 脆弱性としても知られています。

これらの脆弱性は、最初に攻撃を発見し報告したベトナムのサイバーセキュリティ機関GTSCによって9月末に発表された。

この脆弱性はトレンドマイクロのゼロデイイニシアチブを通じてマイクロソフトに開示され、2022年10月の火曜日のパッチでパッチが適用される予定です。ただし、Microsoft はパッチの準備がまだ整っていないと発表しました。

パッチ 2022 年 9 月火曜日

Microsoftは、ハッカーによって悪用されているゼロデイ脆弱性やその他63の問題を修正するための2022年9月パッチ火曜日をリリースしたばかりだ。

このバッチでパッチされた 63 件の脆弱性のうち 5 件は、最も懸念される種類の脆弱性の 1 つであるリモートでコードが実行される可能性があるため、重大と評価されています。

種類ごとの脆弱性の数は以下のとおりです。

• 18 件の権限昇格の脆弱性
• 1 セキュリティバイパスの脆弱性
• 30件のリモートコード実行の脆弱性
• 7 つの情報漏洩の脆弱性
• 7 つのサービス拒否の脆弱性
• Edge - Chromium に関連する 16 件の脆弱性

上記のリストには、Patch Tuesday のリリース前に Microsoft Edge にパッチが適用された 16 件の脆弱性は含まれていません。

先月と同様、今月のパッチ火曜日でも 2 つのゼロデイ脆弱性が修正され、そのうち 1 つはハッカーによって攻撃に悪用されています。悪用されている脆弱性は CVE-2022-37969 として追跡されており、特権昇格の脆弱性です。

Microsoft によると、CVE-2022-37969 の悪用に成功すると、ハッカーはシステム レベルの権限を取得することになります。この脆弱性は、DBAPPSecurity、Mandiant、CrowdStrike、Zscaler の研究者によって発見されました。

研究者らによると、CVE-2022-37969 は単一の脆弱性であり、一連のセキュリティ リスクの一部ではありません。

パッチが適用される残りのゼロデイ脆弱性は、VUSec セキュリティ研究者によって発見された CVE-2022-23960 です。

Microsoft 以外にも、Adobe、Apple、Cisco、Google などの一連の大手企業も、セキュリティ ホールを修正するためのアップデートをリリースしています。

パッチ 2022 年 8 月火曜日

ハッカーによって悪用されている DogWalk のゼロデイ脆弱性にパッチを適用し、その他合計 121 件の問題を修正するために、2022 年 8 月のパッチ火曜日アップデートが Microsoft によってリリースされました。

今回修正されたセキュリティ問題 121 件のうち 17 件は、リモートでコードが実行されたり、権限が昇格されたりする可能性があるため、深刻であると考えられます。

各カテゴリの脆弱性のリストは以下のとおりです。

• 64 件の権限昇格の脆弱性
• 6 つのセキュリティ機能バイパスの脆弱性
• 31 件のリモートコード実行 (RCE) の脆弱性
• 12 件の情報漏えいの脆弱性
• 7 サービス拒否 (DoS) の脆弱性
• 1 なりすましの脆弱性

上記の脆弱性の数には、Microsoft Edge で以前に修正された 20 件の脆弱性は含まれていません。

2022 年 8 月のパッチ火曜日アップデートで、Microsoft は 2 つの深刻なゼロデイ脆弱性を修正し、そのうちの 1 つはハッカー攻撃に悪用されています。 

Microsoft では、脆弱性が公開されている場合、または正式な修正が行われずに悪用されている場合、その脆弱性をゼロデイとみなします。

現在パッチが適用されているエクスプロイトは「DogWalk」というニックネームが付けられており、CVE-2022-34713 として追跡されています。正式名称は「Microsoft Windows サポート診断ツール (MSDT) リモート コード実行の脆弱性」です。

セキュリティ研究者の Imre Rad 氏は 2020 年 1 月にこの脆弱性を発見しましたが、Microsoft はセキュリティ上の脆弱性ではないと判断し、パッチのリリースを拒否しました。

しかし、Microsoft Office MSDT の脆弱性を発見した後、研究者は DogWalk にパッチを適用できるようにするために、再度 Microsoft に報告しました。最後に、Microsoft はこれを認め、この Patch Tuesday アップデートでパッチを適用しました。

パッチが適用された別のゼロデイ脆弱性は、CVE-2022-30134 - Microsoft Exchange 情報漏えいの脆弱性として特定されています。これにより、ハッカーが被害者の電子メールを読むことが可能になります。

Microsoft は、CVE-2022-30134 は一般に公開されているが、悪用された形跡はないと述べています。

パッチ 2021 年 9 月火曜日

Microsoft は、Windows 上の 2 つのゼロデイ脆弱性と、重大 3 件、中程度 1 件、重要 56 件を含む 60 件のその他の脆弱性にパッチを適用する、2021 年 9 月のパッチ火曜日セキュリティ アップデートを正式にリリースしました。 Microsoft Edge の脆弱性を含めると、今月の Patch Tuesday アップデートでは合計で最大 86 個の脆弱性が修正されます。

パッチされた 86 件の脆弱性は次のとおりです。

• 27 件の脆弱性が権限昇格攻撃につながる
• 2 つの脆弱性によりセキュリティ機能が回避される
• 16 件のリモートコード実行の脆弱性
• 11件の情報漏洩の脆弱性
• 1 サービス拒否 (DoS) の脆弱性
• 8 件のなりすましの脆弱性

火曜日のパッチで 2 つのゼロデイ脆弱性が修正される

2021 年 9 月のパッチ火曜日アップデートの最も注目すべき点は、CVE-2021-40444 (MSHTML 脆弱性とも呼ばれる) と CVE-2021-36968 という 2 つのゼロデイ脆弱性に対する修正が提供されることです。その中で、MSHTML はハッカーによって積極的に悪用されています。

MSHTML は深刻な脆弱性であると考えられています。最近、ハッカーがこの脆弱性を悪用する方法をハッキング フォーラムで共有したため、事態はさらに深刻になりました。これに基づいて、ハッカーは独自の悪用方法を作成できます。

MSHTML の脆弱性の詳細については、以下を参照してください。

• 何百万もの Windows ユーザーを脅かすゼロデイ脆弱性がハッカー フォーラムで共有される

Microsoft は、ユーザーができるだけ早く 2021 年 9 月のパッチ火曜日アップデートをインストールすることをお勧めします。インストールするには、[設定] > [Windows Update] に移動し、[更新の確認] ボタンを押してインストールを続行します。

• Microsoft は、Windows 10 2004 でネットワークを使用したままインターネット アクセスができない問題を正式に修正しました。