編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

マイクロソフト、9月の月例パッチ公開--「緊急」の脆弱性5件などを修正

Stephanie Condon (Special to ZDNet.com) 翻訳校正: 編集部

2022-09-14 12:45

 Microsoftは米国時間9月13日、64件の脆弱性を修正する月例パッチを公開した。これらの中には、「Critical」(緊急)に分類される脆弱性5件と、悪用されている脆弱性1件が含まれている。

PCを操作する人
提供:Shutterstock

 今回のパッチは、「Microsoft Windows」およびそのコンポーネントや、「Microsoft Azure」および「Azure Arc」、「.NET」「Visual Studio」「.NET Framework」、「Microsoft Edge」(「Chromium」ベース)、「Office」およびそのコンポーネント、「Windows Defender」などに存在する脆弱性に対処している。

 今回のパッチは、Zero Day Initiativeが記しているように、Microsoft Edge(Chromiumをベースにしたもの)に存在する14件の脆弱性と、Armプロセッサーに存在する投機的実行のサイドチャネル攻撃を可能にする1件の脆弱性への対処に続くものとなっている。

 9月の月例パッチで対処された、悪用が確認されている脆弱性は「Windows共通ログファイルシステムドライバー」に影響を与えるものだ。攻撃者はこの脆弱性を悪用する上で、標的となるシステムに対するアクセスを既に得て、コードを実行できるようになっている必要がある。これにより攻撃者は新たな権限を獲得でき、攻撃を遂行できるようになる。

 Zero Day Initiativeは、「この種の脆弱性は、ファイルをオープンしたり、リンクをクリックするように仕向ける、何らかのソーシャルエンジニアリングとともに用いられる場合が多い」と述べ、「それに成功すると、追加コードが昇格した権限で実行され、システムの乗っ取りにつながる」と続けた。

 Microsoftは、この脆弱性を発見したDBAPPSecurityとMandiant、CrowdStrike、Zscalerの研究者らに謝意を表している。

 13日に公開され、Criticalに分類されている5件の脆弱性はすべて、遠隔地からのコード実行(RCE)を引き起こす可能性のあるものだ。そのうちの2件は、「Microsoft Dynamics 365」のオンプレミス版に影響を与える脆弱性となっている。これら脆弱性を悪用する、巧妙に細工された信頼されたソリューションパッケージを認証ユーザーが実行することで、任意のSQLコマンドが実行されるようになる。このため、攻撃者はここを足場にして権限を昇格し、Dynamics 365データベース内でdb_ownerとしてコマンドを実行できるようになる。

 Criticalに分類されている脆弱性のうちの別の2件は、「Windows Internet Key Exchange(IKE)」の「Protocol Extension」に影響を与えるものとなっている。これにより、認証されていない攻撃者は、巧妙に細工したIPパケットを標的のマシンに送りつけ、RCEを引き起こせるようになる。

 Criticalに分類されている5件目の脆弱性は、WindowsのTCP/IPに影響を与えるものであり、認証されていない攻撃者は巧妙に細工したIPv6パケットをIPSecが有効化されているWindowsノードに送りつけることで、RCEを引き起こせるようになる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]