マイクロソフトとフォーティネットは、アクティブなエクスプロイトの下でバグを修正します • 登録

火曜日のパッチ Microsoft の 3 月のパッチ火曜日には、74 件のバグに対する新しい修正が含まれており、そのうち 2 件はすでに積極的に悪用されており、9 件は重大と評価されています。 レドモンドが修正を公開する前に悪党たちが発見した 2 つのものから始めましょう。

まず最初に、CVSS 評価 10 点中 9.8 を獲得した Microsoft Outlook の権限昇格のバグである CVE-2023-23397 にパッチを適用することを優先します。 この穴の詳細は公表されていないが、ヨーロッパの政府、エネルギー、軍事部門に対してロシアの悪党によってすでに悪用されていると伝えられている。 Microsoftは攻撃の複雑性を「低い」としている。

レドモンドはこの問題を十分に懸念しており、このバグへのガイドを公開し、この脆弱性を悪用しようとする犯罪者の標的にされているかどうかを判断するためのドキュメントとスクリプトを提供しました。 言い換えれば、それは深刻です。

CVE を使用すると、リモートの認証されていない攻撃者が、カスタマイズされた電子メールを侵害されたシステムに送信することで被害者の Net-NTLMv2 ハッシュにアクセスし、そのハッシュを使用して攻撃者を認証することができます。

「攻撃者は、Outlook クライアントによって取得および処理されるときに自動的にトリガーされる特別に細工された電子メールを送信することで、この脆弱性を悪用する可能性がある」と Microsoft は説明した。 「これにより、電子メールがプレビュー ウィンドウで表示される前に悪用される可能性があります。」

Microsoftは、攻撃者がバグを悪用した後にどのような凶悪な行為を行っているのか、あるいは攻撃がどの程度広範囲に及んでいるのかについて詳細を明らかにしていないが、Zero Day InitiativeのDustin Childs氏は「必ずこの修正をテストして迅速に展開してください」とアドバイスしている。

そもそもセキュリティ上の欠陥を悪用したのは誰なのかについて、マイクロソフトは「ヨーロッパの政府、運輸、エネルギー、軍事部門の限られた数の組織に対する標的型攻撃」を行っているロシアの誰かを指摘した。

この欠陥は、ウクライナの CERT のほか、Windows メーカーの内部脅威インテリジェンスおよび研究チームによって IT 巨人に報告されました。

悪用が行われている 2 番目のバグは公に知られており、Microsoft が 2022 年 12 月に修正した同様の脆弱性 CVE-2022-44698 に関連しています。

この新しい脆弱性 CVE-2023-24880 は、Windows SmartScreen セキュリティ機能バイパスのバグであり、攻撃者が Mark-of-the-Web セキュリティ機能をバイパスできる悪意のあるファイルを作成できるようになります。 評価は 5.4/10 にすぎませんが、すでに身代金の支払いを要求する犯罪者によって悪用されています。 親愛なる読者の皆様、覚えておいてください: CVSS は単なる数値であり、現実世界のリスクを示すものではありません。

Google の脅威分析グループ (TAG) がこの問題を最初に発見し、Magniber ランサムウェアの配信に使用されていると発表しました。 TAG チームは、これまでに主にヨーロッパで 100,000 件を超えるダウンロードを記録しているため、この脆弱性には 5.4 CVSS しか適用されていませんが、暗号化されたシステムや恐喝に対処したくない場合は、今すぐパッチを適用してください。

その他の重大と評価された脆弱性については、次に、9.8 CVSS 評価の HTTP プロトコル スタックのリモート コード実行 (RCE) のバグである CVE-2023-23392 にパッチを適用することをお勧めします。 Windows 11 および Windows Server 2022 に影響します。

Microsoft によると、リモートの認証されていない攻撃者は、HTTP プロトコル スタック (http.sys) を使用する標的のサーバーに特別に細工したパケットを送信することで、この脆弱性を悪用する可能性があります。 犯罪者は、ユーザーの介入なしに SYSTEM レベルでコードを実行する可能性があります。

「この組み合わせにより、このバグは、少なくともターゲット要件を満たすシステムを通じてワーム化可能になります」と Childs 氏は述べています。

CVE-2023-23415 は、RCE 評価 9.8 のもう 1 つの重大なバグで、Childs 氏によると、これも潜在的にワームに感染する可能性があります。 これは、インターネット コントロール メッセージ プロトコル (ICMP) の欠陥の結果です。

「攻撃者は、ヘッダー内の別の ICMP パケット内に断片化された IP パケットを含む低レベルのプロトコル エラーをターゲット マシンに送信する可能性がある」と Microsoft は説明した。 「脆弱なコード パスをトリガーするには、ターゲット上のアプリケーションを raw ソケットにバインドする必要があります。」

残りの重要な CVE のうち、CVE-2023-21708、CVE-2023-23404、および CVE-2023-23416 は、リモートでコードが実行される可能性があります。

CVE-2023-23411 は Windows Hyper-V ハイパーバイザーのサービス拒否の脆弱性であり、Microsoft は「Hyper-V ホストの機能に影響を与える」可能性があると述べています。

最後の 2 つの重大なバグ、CVE-2023-1017 と CVE-2023-1018 は、Trusted Platform Module 2.0 のリファレンス実装コードに含まれる境界外読み取りと境界外書き込みのペアの欠陥です。現在、Microsoft 製品では修正されています。

また今月、フォーティネットは 15 件の欠陥に対する修正をリリースしました。 このうち CVE-2022-41328 は FortiOS のパス横断的な脆弱性であり、政府機関や大規模組織を標的とするために悪用されています。

「FortiOS の制限付きディレクトリの脆弱性 (「パス トラバーサル」) [CWE-22] に対するパス名の不適切な制限により、特権を持つ攻撃者が細工された CLI コマンドを介して任意のファイルを読み書きできる可能性がある」とフォーティネットは以前に発行したセキュリティ アドバイザリで述べた。今月。

数日後、フォーティネットは、悪党がこの欠陥を利用して大規模組織を攻撃してデータを盗み、OS やファイルの破損を引き起こしているとの分析を発表した。

「エクスプロイトの複雑さは、高度な攻撃者によるものであり、政府または政府関連の標的を強く狙っていることを示唆している」と分析では述べている。

Adobe の月例パッチ パーティーには、Photoshop、Experience Manager、Dimension、Commerce、Substance 3D Stager、Cloud Desktop Application、Illustrator 製品にわたる 105 件の脆弱性の修正が含まれていました。

ソフトウェアメーカーは、これらのセキュリティ問題が実際に悪用されていることは認識していないと述べた。

Adobe の Dimension 3D レンダリングおよびデザイン ツールは、CVE のスコアが最も多く (58) あり、悪用されるとメモリ リークや任意のコードの実行が発生する可能性があります。

Experience Manager のアップデートでは、任意のコードの実行、権限昇格、セ​​キュリティ機能のバイパスを引き起こす可能性のある 18 件のバグが修正されています。

Substance 3D Stager のパッチは 16 件の脆弱性に対処しており、これも任意のコード実行とメモリ リークの問題の可能性のあるベクトルです。

Photoshop (1 つの CVE) と Illustrator (5 つの CVE) のアップデートも、ご想像のとおり、リモート コード実行につながる可能性のある穴をふさぎます。

最後に、Cold Fusion のアップデートでは重大なコード実行の脆弱性を含む 3 つのバグが修正され、Creative Cloud のパッチでは 1 つの重大なコード実行のバグが修正されています。

SAP は、9.9 と評価された 2 つのバグを含む 21 件の新規および更新されたセキュリティ パッチをリリースしました。

CVE-2023-25616 は、SAP Business Objects Business Intelligence プラットフォームのコード挿入の脆弱性であり、攻撃者が任意のコードを挿入できる可能性があります。

CVE-2023-23857 は、SAP NetWeaver AS for Java バージョン 7.50 の不適切なアクセス制御のバグです。

別の SAP 修正は、9.0 評価の CVE-2023-25617 に対処します。 Onapsis の SAP セキュリティ研究者である Thomas Fritsch 氏によると、これは今月の他の SAP パッチに比べて危険性は低いものの、「重要性が低いという意味ではありません」とのことです。

「CSS の評価が低いのは、エクスプロイトを成功させるには別のユーザーとの対話が必要であるという事実によるものです」と Fritsch 氏は書いています。

このパッチは、SAP の Business Objects Adaptive Job Server における OS コマンド実行の脆弱性を修正します。 悪用されると、ネットワーク経由で任意のOSコマンドを実行される可能性がある。

Google の Android セキュリティ情報は今月、システム コンポーネントの 2 つの重大な RCE バグ (CVE-2023-20951 および CVE-2023-20954) を含む 60 件の欠陥に対処しました。

「これらの問題のうち最も深刻なのは、システムコンポーネントに重大なセキュリティ脆弱性があり、追加の実行権限が必要なくリモートでコードが実行される可能性がある」とAndroidの情報セキュリティ情報は警告している。 「悪用にはユーザーの介入は必要ありません。」

そして最後に、Google は Chrome Web ブラウザの 40 件の欠陥を修正しました。そのうち最も深刻なものは、ユーザーのコンテキストで任意のコードが実行される可能性がありました。

ユーザーに関連付けられた権限に応じて、攻撃者はプログラムをインストールする可能性があります。 データの表示、変更、または削除。 Center for Internet Security によれば、「完全なユーザー権限を持つ新しいアカウントを作成するか、システム上でより少ないユーザー権限を持つようにアカウントが構成されているユーザーは、管理ユーザー権限で操作しているユーザーよりも影響が少ない可能性があります。」®

ニュースを送ってください