2024年4月9日のパッチチューズデーにおいて、Microsoftは147件の脆弱性を修正する複数のセキュリティアップデートを提供しました。Microsoftは、Microsoft Defender for IoTの3つの脆弱性を「緊急」に分類し、その他の脆弱性は2つを除いてすべて「高リスク」に分類しています。Microsoftによると、これらの脆弱性は現時点で攻撃に悪用された事例はないとのことですが、状況はいつでも変化する可能性があります。トレンドマイクロも、ZDIのエクスプロイトコードの存在を確認しています。
Microsoftは、セキュリティアップデートガイドの中で、自己検索に関する脆弱性についてほとんど詳細を提供していません。ダスティン・チャイルズ氏は、トレンドマイクロのZDIブログで、Update Tuesdayのトピックについてより明確に説明しています。彼は常に企業ネットワークを管理する管理者に目を向けています。ダスティン・チャイルズ氏によると、Microsoftが4月に1ヶ月間でこれほど多くのセキュリティ脆弱性を修正したことは記憶にないとのこと。
4月のパッチデーで最も重要なセキュリティ脆弱性
| CVE | 脆弱なソフトウェア | 重大度 | インパクト | 搾取された | 事前に知られている |
|---|---|---|---|---|---|
| CVE-2024-29988 | Windows スマート スクリーン | 高い | SFB | はい (?) | いいえ |
| CVE-2024-26257 | オフィス | 高い | RCE | いいえ | いいえ |
| CVE-2024-28925 など | Windows、セキュアブート | 高い | SFB | いいえ | いいえ |
| CVE-2024-26221 など | Windows、DNS | 高い | RCE | いいえ | いいえ |
SFB: セキュリティ機能バイパス
4月に多数の脆弱性が修正されたのは、SQL ServerのOLE DBドライバー(38件)、DHCPおよびDNSサーバー(9件)、セキュアブートのSFB脆弱性(24件)におけるRCE(リモートコード実行)脆弱性が多数修正されたことが主な原因です。セキュアブートのアップデートではこれらのエラーは修正されていますが、追加の手順(KB5025885)を適用して有効化する必要があります。
ブラウザのアップデート
Edgeの最新セキュリティアップデートは4月4日のバージョン123.0.2420.81です。これはChromium 123.0.6312.106をベースとしており、Chromiumベースの複数の脆弱性を修正しています。Microsoftの開発者は、Edge固有のセキュリティ脆弱性2件も修正しました。
Officeの脆弱性
Microsoftは、Officeファミリー製品における2つの脆弱性を修正しました。どちらも高リスクと分類されています。1つはExcelのリモートコード実行(RCE)脆弱性であるCVE-2024-26257です。これはMicrosoft 365 Apps for BusinessとOffice LTSC for Mac 2021に影響します。Office for Macは従来、セキュリティ更新プログラムの提供が遅れています。2つ目の脆弱性は、SharePoint Serverにおけるスプーフィング脆弱性(CVE-2024-26251)です。さらに、CVE-2024-20670はWindows版Outlookにおけるスプーフィング脆弱性です。
Windowsの脆弱性
今回発見された脆弱性の大部分(91件)は、Microsoftが引き続きセキュリティアップデートを提供しているWindowsの各種バージョン(Windows 10以降およびWindows Server)に存在します。Windows 7とWindows 8.1はセキュリティレポートに記載されなくなりましたが、依然として脆弱性が存在する可能性があります。システム要件が許す限り、セキュリティアップデートを引き続き受け取るには、Windows 10 (22H2) またはWindows 11への切り替えをお勧めします。
Windows にゼロデイ脆弱性はあるか?
マイクロソフトの最新のUpdate Tuesdayに関する情報では、修正された脆弱性が既に攻撃に利用されている、あるいは脆弱性を悪用するエクスプロイトコードが出回っているという兆候は見られません。しかし、ダスティン・チャイルズ氏はZDIブログで、同僚のピーター・ギラス氏が発見した脆弱性を悪用するエクスプロイトが実際に確認されていると指摘しています。
これは、スマートスクリーンフィルターにおけるSFB(セキュリティ機能バイパス)脆弱性CVE-2024-29988に関するものです。これは、2月にAPTグループWater Hydra(別名Dark Casino)がマルウェア注入に悪用した脆弱性CVE-2024-21412に類似しています。この脆弱性を悪用すると、Windows Defenderはインターネットからダウンロードしたファイルに「Mark-of-the-Web」(MotW)属性を付与せず、(潜在的に危険な)ファイルを開くことに対する警告を表示しません。そのため、これはセキュリティ機能バイパスと呼ばれます。
重大なIoTの脆弱性
Microsoftは、Microsoft Defender for IoT(モノのインターネットまたはスマートホーム)におけるリモートコード実行(RCE)の脆弱性を3件のみ「重大」と分類しています。これらに加えて、EoP(権限昇格)の脆弱性が3件あります。現時点では、このような攻撃の発生確率は不明です。しかしながら、防御ラインに対するあらゆる攻撃の可能性を真剣に受け止めるべきです。
さらに読む:私たちがテストした最高のウイルス対策ソフトウェア
この記事はドイツ語から英語に翻訳され、元々はpcwelt.deに掲載されていました。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: Frank Ziemann、PCWorld寄稿者
フランク・ジーマンは2005年から姉妹サイトPC-WELTでフリーランスライターとして活動し、ニュースやテストレポートを執筆しています。主なテーマはITセキュリティ(マルウェア、ウイルス対策、セキュリティギャップ)とインターネット技術です。
