Microsoft、5月の大量のセキュリティアップデートでXNUMX件のゼロデイを公開

Microsoft、5月の大量のセキュリティアップデートでXNUMX件のゼロデイを公開

タイムスタンプ:11年2023月6日16:XNUMX
Microsoft、5月の大量のセキュリティアップデートPlatoBlockchain Data IntelligenceでXNUMXつのゼロデイを公開。垂直検索。あい。

Microsoftの XNUMX月のセキュリティアップデート には 130 件もの固有の脆弱性に対する修正が含まれており、そのうち XNUMX 件は攻撃者によってすでに実際に積極的に悪用されています。

同社は、欠陥のうち 121 件を深刻度が重大であると評価し、そのうち XNUMX 件を深刻度が中程度または重要であると評価しました。 この脆弱性は、Windows、Office、.Net、Azure Active Directory、プリンター ドライバー、DMS サーバー、リモート デスクトップなど、幅広い Microsoft 製品に影響します。 このアップデートには、リモート コード実行 (RCE) の欠陥、セキュリティ バイパスと権限昇格の問題、情報漏えいのバグ、およびサービス拒否の脆弱性が通常どおり混在していました。

「この修正量は過去数年間で最高のものですが、'Microsoft が Black Hat USA カンファレンスの直前に多数のパッチを出荷するのは珍しいことではありません」と、トレンドマイクロのゼロデイ イニシアチブ (ZDI) のセキュリティ研究者であるダスティン チャイルズ氏はブログ投稿で述べています。

セキュリティ研究者によると、パッチの優先順位付けの観点から、Microsoft が今週明らかにした XNUMX つのゼロデイは直ちに注目する価値があるとのことです。

それらの中で最も深刻なのは、 CVE-2023-36884これは、Office および Windows HTML のリモート コード実行 (RCE) バグであり、Microsoft は今月の更新プログラムでパッチを提供していませんでした。 同社は、追跡している脅威グループである Storm-0978 が、北米とヨーロッパの政府および防衛組織をターゲットとしたフィッシング キャンペーンの欠陥を悪用しているものであると特定しました。

このキャンペーンには、攻撃者がウクライナ世界会議に関連したテーマを含む Windows ドキュメントを介して RomCom と呼ばれるバックドアを配布することが含まれています。 「ストーム-0978」'標的を絞った作戦は、主にウクライナの政府および軍事組織、さらにはウクライナ問題に関与する可能性のあるヨーロッパと北米の組織に影響を与えた。」 マイクロソフトはブログでこう述べた XNUMX 月のセキュリティ更新に伴う投稿。 「特定されたランサムウェア攻撃は、とりわけ電気通信業界や金融業界に影響を与えています。」

ZDI の別の研究者である Dustin Childs 氏は、Microsoft 自体は CVE-2023-36884 を比較的深刻度の低い「重要な」バグと評価しているにもかかわらず、CVE-XNUMX-XNUMX を「重大な」セキュリティ問題として扱うよう組織に警告しました。 「マイクロソフトはこの CVE をリリースするという奇妙な行動を取りました」 無し パッチ。 それか'まだこれからだ」とチャイルズ氏はブログ投稿に書いた。 「明らかに、そこには'この悪用には、言われている以上のことがたくさんあります。」

積極的に悪用されている XNUMX つの脆弱性のうち XNUMX つはセキュリティ バイパスの欠陥です。 XNUMX つは Microsoft Outlook に影響します (CVE-2023-35311)、もう XNUMX つは Windows SmartScreen (CVE-2023-32049)。 どちらの脆弱性もユーザーの操作を必要とするため、攻撃者はユーザーに悪意のある URL をクリックさせることによってのみ脆弱性を悪用できます。 CVE-2023-32049 では、攻撃者は「ファイルを開く - セキュリティ警告」プロンプトを回避できますが、CVE-2023-35311 では、Microsoft Outlook セキュリティ通知プロンプトによって攻撃をこっそり行う方法が攻撃者に与えられます。

「[CVE-2023-35311] は特に Microsoft Outlook のセキュリティ機能のバイパスを許可しており、リモートでのコード実行や権限昇格は許可していないことに注意することが重要です」と、Action1 の脆弱性および脅威調査担当副社長の Mike Walters 氏は述べています。 「したがって、攻撃者はこれを他のエクスプロイトと組み合わせて包括的な攻撃を行う可能性があります。 この脆弱性は、2013 年以降の Microsoft Outlook のすべてのバージョンに影響します」と彼は Dark Reading への電子メールで述べています。

Immersive Labs のサイバー脅威研究ディレクターである Kev Breen 氏は、もう XNUMX つのセキュリティ バイパス ゼロデイを評価しました - CVE-2023-32049 — 脅威アクターが広範な攻撃チェーンの一部として使用する可能性が最も高い別のバグとして。

Microsoft の最新のパッチ セットに含まれる他の XNUMX つのゼロデイは、どちらも権限昇格を可能にします。 Google の脅威分析グループの研究者は、そのうちの XNUMX つを発見しました。 欠陥は次のように追跡されます CVE-2023-36874は、Windows エラー報告 (WER) サービスにおける特権昇格の問題であり、攻撃者に脆弱なシステムの管理者権限を取得する手段を与えます。 攻撃者がこの欠陥を悪用するには、影響を受けるシステムへのローカル アクセスが必要ですが、他のエクスプロイトや資格情報の悪用によってアクセス権を取得する可能性があります。

「WER サービスは、特定のソフトウェアがクラッシュしたり、他の種類のエラーが発生したりした場合に、エラー レポートを自動的に収集して Microsoft に送信する Microsoft Windows オペレーティング システムの機能です」と Automox のセキュリティ研究者である Tom Bowyer 氏は述べています。 「このゼロデイ脆弱性は積極的に悪用されているため、組織でWERが使用されている場合は、24時間以内にパッチを適用することをお勧めします」と同氏は述べた。

XNUMX 月のセキュリティ アップデートに含まれるもう XNUMX つの権限昇格のバグは、攻撃者がすでに積極的に悪用しているものです。 CVE-2023-32046 Microsoft の Windows MSHTM プラットフォーム、別名「Trident」ブラウザ レンダリング エンジン。 他の多くのバグと同様、このバグもある程度のユーザー操作が必要です。 このバグを悪用する電子メール攻撃シナリオでは、攻撃者は標的のユーザーに特別に細工したファイルを送信し、ユーザーにそのファイルを開かせる必要があります。 Microsoftによると、Webベースの攻撃では、攻撃者は悪意のあるWebサイトをホストするか、侵害されたWebサイトを使用して特別に細工したファイルをホストし、被害者にそのファイルを開くよう誘導する必要があるという。

Windows ルーティング、リモート アクセス サービスの RCE

セキュリティ研究者は、Windows ルーティングとリモート アクセス サービス (RRAS) に XNUMX つの RCE 脆弱性があると指摘しました (CVE-2023-35365, CVE-2023-35366, CVE-2023-35367)すべてと同様に優先的な注目に値するものとして。 Microsoft は 9.8 つの脆弱性すべてを重大であると評価しており、XNUMX つすべての CVSS スコアは XNUMX です。 Automoxのボウヤー氏によると、このサービスはデフォルトではWindows Serverでは利用できず、基本的にはOSを実行しているコンピュータがルーター、VPNサーバー、ダイヤルアップサーバーとして機能できるようになるという。 「攻撃に成功すると、ネットワーク構成を変更したり、データを盗んだり、他のより重要なシステムに移動したり、デバイスに永続的にアクセスするための追加アカウントを作成したりする可能性があります。

SharePointサーバーの欠陥

Microsoft の XNUMX 月の大規模アップデートには、SharePoint サーバーの XNUMX つの RCE 脆弱性に対する修正が含まれていました。SharePoint サーバーは、最近攻撃者の標的として人気が高まっています。 Microsoft は XNUMX つのバグを「重要」と評価しました (CVE-2023-33134 および CVE-2023-33159) 残りの XNUMX つは「重大」 (CVE-2023-33157 および CVE-2023-33160)。 「それらはすべて、攻撃者が認証されるか、ユーザーがアクションを実行することを必要とします。これにより幸いなことに、侵害のリスクは軽減されます」とシルバーフォート社の上級研究員、ヨアヴ・イエリン氏は述べた。 「それでも、SharePoint には機密データが含まれる可能性があり、通常は組織の外部から公開されるため、オンプレミスまたはハイブリッド バージョンを使用している人は更新する必要があります。」

FEDRAMP、PCI、HIPAA、SOC2、および同様の規制などの規制に準拠する必要がある組織は、次の点に注意する必要があります。 CVE-2023-35332: Cyolo の研究責任者である Dor Dali 氏は、Windows リモート デスクトップ プロトコルのセキュリティ機能バイパスの欠陥であると述べました。 同氏によると、この脆弱性は、Datagram Transport Layer Security (DTLS) バージョン 1.0 など、時代遅れで非推奨のプロトコルの使用に関係しており、組織に重大なセキュリティとコンプライアンスのリスクをもたらすという。 組織がすぐにアップデートできない状況では、RDP ゲートウェイの UDP サポートを無効にする必要があると同氏は述べています。

さらに、マイクロソフト 勧告を発表しました Microsoft の認定を受けたドライバーを使用する脅威アクターに関する最近の報告に対する調査について'■ エクスプロイト後のアクティビティにおける Windows Hardware Developer Program (MWHDP)。

タイムスタンプ:

より多くの 暗い読書