Microsoft は今月のパッチ チューズデイ リリースで自社を上回りましたが、ゼロデイ パッチは含まれていませんでしたが、パッチの少なくとも 1 つはすでに活発に悪用されている欠陥に対処しています。
最新の Patch Tuesday アップデートの影響を受ける製品には、Windows および Windows コンポーネントが含まれます。アズール; .NET Framework と Visual Studio。 SQLサーバー; DNSサーバー。 Windows ディフェンダー。ビットロッカー。 Windows セキュア ブート。
Microsoft の 147 月の更新プログラムには 142 件の CVE が含まれており、そのうち 155 件は「重大」と評価され、XNUMX 件は「重要」に分類され、XNUMX 件は重大度が「中」に分類されました。サードパーティの欠陥が含まれる場合、その数は XNUMX の CVE に膨れ上がります。この数字は、Patch Tuesday の修正としては過去最高を表しています。
「Microsoft は 147 月に 2017 の CVE にパッチを適用しました。これは、100 年にこのデータの追跡を開始して以来、2023 か月間にパッチが適用された CVE の最大数です」と Tenable のシニア スタッフリサーチャー エンジニアであるサトナム ナラン氏は声明で述べています。 「最後に 103 を超える CVE にパッチが適用されたのは 2023 年 130 月で、そのとき Microsoft は XNUMX の CVE に対応しました。」前回の最高値は XNUMX 年 XNUMX 月で、パッチが適用された CVE は XNUMX 件だった、とナラン氏は付け加えました。
Microsoft は、April Patch Tuesday の CVE がゼロデイ脅威であるとは示しておらず、昨年のゼロデイ開示の活発なクリップからの歓迎すべき変化です。
「昨年の今頃、7 件のゼロデイ脆弱性が悪用されました」とナラン氏は言いました。今年、ゼロデイが悪用されたのは 2 件のみで、両方とも 2 月に発生しました。 「これが単に可視化されていないだけなのか、それとも攻撃者が組織への攻撃の一環として既知の脆弱性を利用している傾向を示しているのか、なぜこの減少が見られたのかを正確に特定することは困難です。」
しかし、ゼロデイ・イニシアチブのダスティン・チャイルズ氏は4月の著書で次のように述べています。 Microsoft パッチ火曜日の分析 彼の組織には、今月の修正リストに悪用された既知の欠陥の証拠があるとのことです。
火曜日の修正を優先的にパッチする
Childs 氏は、SmartScreen プロンプト セキュリティ機能バイパスの最大重大度の脆弱性を指摘しました (CVE-2024-29988) CVSS スコアは 8.8 で、ZDI によって発見されましたが、Microsoft の Patch Tuesday アップデートでは悪用されたものとしてリストされていませんでした。
「しかし、ZDI の脅威ハンターである Peter Girrus によって報告されたバグは野生で発見されました」と Childs 氏は付け加えました。 「これが実際に悪用されているという証拠があるので、そのようにリストに掲載します。」
リモート プロシージャ コール ランタイムのリモート コード実行の脆弱性に影響を与える別の最大重大度のバグ (CVE-2024-20678) には CVSS スコア 8.8 が与えられ、今月 Microsoft によってパッチが適用されました。
スプーフィングの脆弱性 (CVE-2024-20670) は、基本 CVSS 8.1 の最大重大度としてリストされており、Outlook for Windows で修正されました。また、Windows DNS サーバーのリモート コード実行も最大重大度としてリストされています (CVE-2024-26221) CVSS スコア 7.2 にもパッチが適用されました。
Microsoft SQLに大量のパッチが適用される
Immersive Labs の脅威調査シニア ディレクターである Kev Breen 氏によると、Microsoft SQL Server の脆弱性は、今月のパッチ チューズデーの修正の大部分を占めています。
「一見すると、Microsoftが最新のノートで多数の脆弱性を指摘しているように見えるかもしれないが、そのうち40件はすべて同じ製品、つまりMicrosoft SQL Serverに関連している」とブリーン氏は声明で述べた。 「主な問題は、サーバー自体ではなく、SQL サーバーへの接続に使用されるクライアントにあります。」
ブリーン氏はさらに、これらすべてにはソーシャル エンジニアリングが必要であり、SQL の欠陥を有効な方法で悪用することが困難になると説明しました。
「報告されたすべての脆弱性は同様のパターンに従っています。攻撃者がコードを実行するには、組織内の認証されたユーザーを説得して、攻撃者が制御するリモート SQL サーバーに接続させる必要があります。」とブリーン氏は付け加えました。 「不可能ではありませんが、攻撃者によって大規模に悪用される可能性は低いです。」
この種の攻撃を懸念するセキュリティ チームは、異常なアクティビティを探し、信頼できるサーバー以外の送信接続をブロックする必要があります。
Microsoft SmartScreen プロンプトとセキュア ブートの欠陥
Tenable のナラン氏は、SmartScreen プロンプトのセキュリティ機能バイパスに対する今月の修正に注目しました (CVE-2024-29988)は、CVSS スコアが 8.8 で、同様に悪用を可能にするためにソーシャル エンジニアリングに依存しています。同じ研究者によって発見された同様のゼロデイ バグ (CVE-2024-21412) は、Apple iTunes などの人気ブランドになりすました DarkGate キャンペーンで使用されました。
「Microsoft Defender SmartScreen は、フィッシングや悪意のある Web サイトに対する追加の保護をエンド ユーザーに提供することになっています」とナラン氏は述べています。 「しかし、名前が示すように、これらの欠陥はこれらのセキュリティ機能をバイパスするため、エンドユーザーがマルウェアに感染することにつながります。」
また、Narang 氏は、セキュリティ チームに対し、Microsoft の 24 月のパッチ火曜日リリースに含まれる XNUMX 件の Windows セキュア ブートの欠陥修正を検討するよう提案しました。
「Microsoft が最後に Windows セキュア ブートの欠陥にパッチを当てたのは (CVE-2023-24932) 2023 年 5,000 月のこの脆弱性は、実際に悪用され、ダークウェブ フォーラムで XNUMX ドルで販売されていた BlackLotus UEFI ブートキットにリンクされていたため、顕著な影響を及ぼしました」と彼は述べました。
BlackLotus マルウェア 起動中にセキュリティ保護をブロックできます。
「今月対処されたこれらのセキュア ブートの脆弱性はいずれも実際に悪用されたものではありませんでしたが、これらはセキュア ブートの欠陥が依然として存在し、将来的にセキュア ブートに関連する悪意のある活動がさらに発生する可能性があることを思い出させるものとして機能します」とナラン氏は強調しました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/microsoft-patch-tuesday-no-zero-days-but-one-under-active-exploit
