マイクロソフト、1月の月例パッチを公開–98件の脆弱性に対処

今回は「マイクロソフト、1月の月例パッチを公開–98件の脆弱性に対処」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　「Windows」や「Office」の管理者は新年早々、忙しくなりそうだ。Microsoftがリリースした1月の月例セキュリティパッチでは、同社のプラットフォームに存在している98件の脆弱性が対処されている。この件数は多い方で、ホリデーシーズンを控えた2022年12月の月例パッチのほぼ2倍となっている。

　今回のセキュリティパッチでは2件のゼロデイ脆弱性が対処されているが、活発に悪用されていると確認されているのはそのうちの1件のみだ。それはWindowsに存在し、「CVE-2023-21674」として追跡されている、深刻度が「重要（Important）」の脆弱性だ。この脆弱性が悪用された場合、攻撃者はローカル権限を昇格させ、システム最高の権限である管理者権限を手にできるようになる。この脆弱性は、深刻度を0.0〜10.0までのスコアで表す「脆弱性評価システム（CVSS）」v3.1で8.8と評価されている。

　「CVE-2023-21674」は、Windowsのタスクスケジューラーの「Advanced Local Procedure Call（ALPC）」に影響を与える脆弱性だ。この脆弱性は、Rapid7のGreg Wiseman氏が指摘しているように、2018年9月の月例パッチで対処されたものの、すぐにマルウェアキャンペーンで悪用されたゼロデイ脆弱性「CVE-2018-8440」を思い起こさせる。

　Wiseman氏は「攻撃方法に複雑さはなく、実際に機能する概念実証（PoC）コードが存在しており、サンドボックスから脱出できる可能性があるという点で、この脆弱性は注視しておくべきものと言えるかもしれない」と指摘している。

　この脆弱性を発見したのは、AvastのJan Vojtesek氏と、Milanek氏、Przemek Gmerek氏だ。

　2つ目の脆弱性である「CVE-2023-21549」は、「Windows SMB」の「Witness Service」に影響を与える特権昇格の脆弱性であり、深刻度は8.8とされている。Microsoftによると、この脆弱性は詳細が公開されているとはいえ、悪用される可能性は「そう高くない」という。

　Zero Day InitiativeのDustin Childs氏によると、今回の月例パッチは1月にリリースされたものとしては久しぶりに規模の大きなものだという。同リリースには深刻度が「緊急（Critical）」の脆弱性が11件、「重要」の脆弱性が87件含まれている。

　緊急とされた脆弱性には、「Windows Layer 2 Tunneling Protocol（L2TP）」に存在するリモートコード実行（RCE）の脆弱性（「CVE-2023-21543」「CVE-2023-21546」「CVE-2023-21555」「CVE-2023-21556」「CVE-2023-21679」）も含まれている。これらの脆弱性はサードパーティーの研究者らによって報告されたものだ。

　また、「Microsoft Cryptographic Services」に存在し、深刻度が「緊急」と評価された、特権昇格の脆弱性「CVE-2023-21730」はMicrosoft Offensive Research and Security Engineering（MORSE）によって発見された。