編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向

マイクロソフト、5月の月例パッチで脆弱性74件を修正--緊急レベルは7件

Michael Gariffo (ZDNet.com) 翻訳校正: 編集部

2022-05-11 13:50

 Microsoftは米国時間5月10日、5月の月例セキュリティパッチ「Patch Tuesday」をリリースした。74件の脆弱性が修正されており、その中には活発に悪用されている、「重要」(Important)と位置付けられた脆弱性(「Windows LSA」のなりすましの脆弱性)が含まれている。

 今回のセキュリティアップデートではこの他、「緊急」(Critical)と位置付けられた7件の脆弱性も修正されており、その内訳はリモートコード実行(RCE)の脆弱性が5件、特権昇格(EoP)に関する脆弱性が2件となっている。また、緊急と位置付けられていない67件の脆弱性の多くは、RCEやEoPに関するものだ。さらに、DoSや情報漏えい、セキュリティ機能のバイパス、なりすましに関する脆弱性も修正されている。

 今回のセキュリティアップデートの対象となっている製品には、「Windows」とそのコンポーネントの一部、「.NET」、「Visual Studio」プラットフォーム、「Office」とそのコンポーネント、「Microsoft Exchange Server」「BitLocker」「リモートデスクトップクライアント」「NTFS」が含まれている。

 このアップデートで修正される脆弱性のうち、特に深刻なものには以下が含まれている。

  • CVE-2022-26925:これは今回修正されている脆弱性の中で唯一、活発に悪用されているものだ。「重要」と位置付けられたこの脆弱性を悪用することで、「LSARPCインターフェースのメソッドを呼び出し、NTLMを介して攻撃者を認証するよう、ドメインコントローラーを強制できるようになる」という。Microsoftはこの脆弱性に対して共通脆弱性評価システム(CVSS)で8.1というスコアを付与しているが、この脆弱性とNTLMリレー攻撃を組み合わせることで、その深刻度は9.8に増大するという。この修正パッチは、LSARPCを用いた匿名での接続を検出、禁止することで同脆弱性を修正するものとなっている。
  • CVE-2022-26923:「緊急」と位置付けられたこの脆弱性によって、攻撃者は巧妙な仕掛けを施したデータを証明書のリクエストに引き渡し、証明書を発行させることが可能になる。これにより攻撃者は、ドメインコントローラーを高い権限で認証できる証明書を入手できる。その結果、不正に認証された攻撃者は「Active Directory Certificate Services」が実行されているあらゆるドメイン内で実質的にドメイン管理者になれる。この脆弱性にはCVSSで8.8というスコアが付与されている。

 CVE-2022-26937CVE-2022-29972も特筆に値する。前者は「Windowsネットワークファイルシステム」(NFS)に存在するRCEの脆弱性だ。後者は「Magnitude Simba Amazon Redshift ODBC Driver」に存在する脆弱性であり、その件だけでMicrosoftがブログ記事を執筆するほど重要なものとなっている。

 Zero Day Initiative(ZDI)によると、今回の月例パッチは過去の5月における月例パッチとほぼ同じ規模となっており、2021年5月と比べると19件多いものの、2019年5月と比べると5件少なくなっている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]