Microsoftは米国時間9月13日、64件の脆弱性を修正する月例パッチを公開した。これらの中には、「Critical」(緊急)に分類される脆弱性5件と、悪用されている脆弱性1件が含まれている。
提供:Shutterstock
今回のパッチは、「Microsoft Windows」およびそのコンポーネントや、「Microsoft Azure」および「Azure Arc」、「.NET」「Visual Studio」「.NET Framework」、「Microsoft Edge」(「Chromium」ベース)、「Office」およびそのコンポーネント、「Windows Defender」などに存在する脆弱性に対処している。
今回のパッチは、Zero Day Initiativeが記しているように、Microsoft Edge(Chromiumをベースにしたもの)に存在する14件の脆弱性と、Armプロセッサーに存在する投機的実行のサイドチャネル攻撃を可能にする1件の脆弱性への対処に続くものとなっている。
9月の月例パッチで対処された、悪用が確認されている脆弱性は「Windows共通ログファイルシステムドライバー」に影響を与えるものだ。攻撃者はこの脆弱性を悪用する上で、標的となるシステムに対するアクセスを既に得て、コードを実行できるようになっている必要がある。これにより攻撃者は新たな権限を獲得でき、攻撃を遂行できるようになる。
Zero Day Initiativeは、「この種の脆弱性は、ファイルをオープンしたり、リンクをクリックするように仕向ける、何らかのソーシャルエンジニアリングとともに用いられる場合が多い」と述べ、「それに成功すると、追加コードが昇格した権限で実行され、システムの乗っ取りにつながる」と続けた。
Microsoftは、この脆弱性を発見したDBAPPSecurityとMandiant、CrowdStrike、Zscalerの研究者らに謝意を表している。
13日に公開され、Criticalに分類されている5件の脆弱性はすべて、遠隔地からのコード実行(RCE)を引き起こす可能性のあるものだ。そのうちの2件は、「Microsoft Dynamics 365」のオンプレミス版に影響を与える脆弱性となっている。これら脆弱性を悪用する、巧妙に細工された信頼されたソリューションパッケージを認証ユーザーが実行することで、任意のSQLコマンドが実行されるようになる。このため、攻撃者はここを足場にして権限を昇格し、Dynamics 365データベース内でdb_ownerとしてコマンドを実行できるようになる。
Criticalに分類されている脆弱性のうちの別の2件は、「Windows Internet Key Exchange(IKE)」の「Protocol Extension」に影響を与えるものとなっている。これにより、認証されていない攻撃者は、巧妙に細工したIPパケットを標的のマシンに送りつけ、RCEを引き起こせるようになる。
Criticalに分類されている5件目の脆弱性は、WindowsのTCP/IPに影響を与えるものであり、認証されていない攻撃者は巧妙に細工したIPv6パケットをIPSecが有効化されているWindowsノードに送りつけることで、RCEを引き起こせるようになる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。