Microsoftは、2024年のパッチ火曜日アップデートを終了し、 合計 72 件のセキュリティ上の欠陥 同社のソフトウェアポートフォリオには、実際に悪用されたとされるものも含まれている。
72 件の欠陥のうち、深刻度は 17 件が重大、54 件が重要、1 件が中程度と評価されています。脆弱性のうち 31 件はリモートでコードが実行される脆弱性で、そのうち 27 件は権限の昇格を可能にします。
これに加えて、 13 件の脆弱性 同社は先月のセキュリティアップデートのリリース以来、ChromiumベースのEdgeブラウザでこの問題に取り組んでいる。 Fortra によると、Microsoft は 2024 年だけで合計 1,088 件もの脆弱性を解決しました。
Microsoft が積極的に悪用されていると認めた脆弱性は次のとおりです。 CVE-2024-49138 (CVSS スコア: 7.8)、Windows 共通ログ ファイル システム (CLFS) ドライバーの特権昇格の欠陥。
同社は勧告の中で「攻撃者がこの脆弱性の悪用に成功すると、SYSTEM権限を取得する可能性がある」と述べ、この欠陥を発見し報告したサイバーセキュリティ企業CrowdStrikeの功績を認めた。
CVE-2024-49138 は、CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 (CVSS スコア: 7.8) に次いで、2022 年以降に積極的に悪用された 5 番目の CLFS 権限昇格の欠陥であることは注目に値します。 )。これは、今年パッチが適用される同じコンポーネントの 9 件目の脆弱性でもあります。
「実際の悪用の詳細はまだわかっていませんが、CLFS ドライバーの脆弱性の歴史を振り返ると、ランサムウェア オペレーターがここ数年で CLFS の特権昇格の欠陥を悪用する傾向が強くなったことは興味深いことです。 」と Tenable のシニア スタッフ リサーチ エンジニアであるサトナム ナラン氏は The Hacker News に語った。
「通常、精度と忍耐力に重点を置く高度な持続的脅威グループとは異なり、ランサムウェアのオペレータや関連会社は、必要なあらゆる手段を使ってスマッシュ アンド グラブ戦術に重点を置いています。CLFS のような特権昇格の欠陥を利用することで、ランサムウェアの関連会社は特定の状況を通過できます。データを盗んで暗号化し、被害者を恐喝し始めるためにネットワークに侵入します。」
CLFS が悪意のある攻撃者にとって魅力的な攻撃経路となっているという事実を Microsoft も見逃さなかったわけではなく、そのようなログ ファイルを解析する際に新しい検証手順を追加することに取り組んでいると述べました。
「このセキュリティ軽減策により、ログ ファイル データ構造内の個々の値を検証する代わりに、ログ ファイルが CLFS ドライバー自体以外によって変更されたことを検出する機能が CLFS に提供されます。」と Microsoft は述べています。 注目した 「これは、ハッシュベースのメッセージ認証コード (HMAC) をログ ファイルの末尾に追加することで実現されました。」
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) はそれ以来、 追加した 悪用された既知の脆弱性の欠陥 (ケブ) カタログに基づき、連邦文民行政府 (FCEB) 機関に対し、2024 年 12 月 31 日までに必要な是正措置を適用するよう求めています。
今月のリリースで最も重大度が高いバグは、Windows ライトウェイト ディレクトリ アクセス プロトコル (LDAP) に影響を与えるリモート コード実行の欠陥です。それは次のように追跡されます CVE-2024-49112 (CVSS スコア: 9.8)。
「認証されていない攻撃者がこの脆弱性の悪用に成功すると、特別に細工された一連の LDAP 呼び出しを通じてコードが実行され、LDAP サービスのコンテキスト内で任意のコードを実行する可能性がある」と Microsoft は述べた。
Windows Hyper-V に影響を与える他の 2 つのリモート コード実行の欠陥にも注目してください (CVE-2024-49117、CVSS スコア: 8.8)、リモート デスクトップ クライアント (CVE-2024-49105、CVSS スコア: 8.4)、および Microsoft ミュージシャン (CVE-2024-49063、CVSSスコア:8.4)。
この開発は、攻撃者が NT LAN Manager (NTLM) 資格情報を取得できる Windows ゼロデイ脆弱性に対する 0patch が非公式修正をリリースしたことを受けて行われました。この欠陥に関する追加の詳細は、公式パッチが利用可能になるまで保留されています。
「この脆弱性により、攻撃者は、ユーザーに Windows エクスプローラーで悪意のあるファイルを表示させるだけで、ユーザーの NTLM 資格情報を取得できます。たとえば、そのようなファイルが含まれる共有フォルダーまたは USB ディスクを開いたり、そのファイルが以前に自動的にダウンロードされたダウンロード フォルダーを表示したりすることによって行われます。攻撃者のWebページより」とMitja Kolsek氏 言った。
10月下旬には無料の非公式パッチも配信された 利用可能になりました 攻撃者がターゲットの NTLM 資格情報をリモートで盗むことを可能にする Windows テーマのゼロデイ脆弱性に対処するため。
0パッチには、 発行されたマイクロパッチ Windows Server 2012 および Server 2012 R2 には、攻撃者が特定の種類のファイルに対する Mark-of-the-Web (MotW) 保護をバイパスできる、これまで知られていなかった別の脆弱性が存在します。この問題は 2 年以上前に発生したと考えられています。
NTLM はリレー経由で広範な悪用を受けるようになり、 パス・ザ・ハッシュ攻撃Microsoft は、従来の認証プロトコルを廃止し、Kerberos を使用する計画を発表しました。さらに、Exchange 2019 の新規および既存のインストールに対して、認証の拡張保護 (EPA) をデフォルトで有効にする措置を講じました。
Microsoftは、Windows Server 2025のリリースでEPAをデフォルトで有効にすることにより、同様のセキュリティ改善をAzure Directory Certificate Services(AD CS)に展開したと発表した。これにより、NTLM v1のサポートも削除され、NTLM v2も廃止される。これらの変更は Windows 11 24H2 にも適用されます。
「さらに、同じ Windows Server 2025 リリースの一部として、LDAP ではチャネル バインディングがデフォルトで有効になりました」とレドモンドのセキュリティ チームは述べています。 言った 今週初めに。 「これらのセキュリティ強化により、デフォルトで、Exchange Server、Active Directory 証明書サービス (AD CS)、LDAP の 3 つのオンプレミス サービスにわたって NTLM 中継攻撃のリスクが軽減されます。」
「NTLM をデフォルトで無効にする方向で進んでおり、Exchange Server、AD CS、LDAP で EPA を有効にするなどの即時かつ短期的な変更により、『デフォルトで安全な』体制が強化され、現実世界の攻撃からユーザーが保護されます。」
他のベンダーからのソフトウェア パッチ
Microsoft 以外でも、過去数週間にわたって、次のようないくつかの脆弱性を修正するためのセキュリティ アップデートが他のベンダーからもリリースされました。
