Microsoft、2 月の月例アップデートで 72 件のパッチを提供

** 本記事は、February’s Patch Tuesday treats customers to 72 patches の翻訳です。最新の情報は英語記事をご覧ください。**

2 月は 72 件のパッチと 21 件のアドバイザリが Microsoft の顧客向けにリリースされました。Microsoft が今月のセキュリティアップデートで対処した CVE には、Windows のものが 43 件含まれています。その他、12 の製品グループまたはツールも影響を受けます。対処された CVE のうち、5 件は Microsoft によって深刻度が「緊急 (Critical)」とされており、Windows、Office、Exchange、Dynamics 365に影響します。

パッチ公開時点では、そのうち 2 件の問題について実際に悪用されていることが確認されていますが、公表されているものはありません。(ただし、アドバイザリのうち 1 件は確実に悪用されています。詳細は以下で述べます。)また、Windows、Office、Exchange の脆弱性のうち 8 件 （CVSS ベーススコアが 9.8 と非常に高い、深刻度「緊急」の権限昇格問題を含む） は、Microsoft の推定によると、今後 30 日以内に悪用される可能性があります。これらの問題のうち 7 件は、ソフォスの保護機能によってカバーされています。詳しい情報は、以下の表に記載しています。

これらのパッチに加え、今回のリリースには、サンドボックスエスケープにつながる可能性のある RCE を含む Chromium/Edge 関連の CVE 6 件、サービス拒否につながる可能性のある DNS の問題に関する MITRE 発行の CVE 1 件、2 週間前に Snyk が公開投稿で開示し、その後影響を受ける他の企業がパッチを適用した、Mariner に影響する CVE-2024-21626「Leaky Vessel」問題に対処する Github 発行の CVE 1 件、および Acrobat Reader に関連する Adobe アドバイザリ 13 件に関する情報が含まれます。

以下の CVE 数およびグラフにはアドバイザリは含まれていませんが、本記事の最後に付録としてすべての情報を掲載しています。本記事の最後には、従来と同様に、Microsoft のすべてのパッチを深刻度別、悪用可能性予測別、製品ファミリ別にリストアップした 3 つの付録を掲載しています。

• Microsoft CVE の総数: 72
• アップデートでカバーされた Adobe アドバイザリの数: 13
• アップデートでカバーされた Edge / Chromium の問題の総数: 6
• アップデートでカバーされた Mariner アドバイザリの総数: 1
• アップデートでカバーされた MITRE アドバイザリの総数: 1
• 公開された件数: 0

悪用された件数: 2

深刻度

緊急: 5

重要: 65

警告: 2

影響

• リモートコード実行: 30
• 権限昇格: 16

スプーフィング: 10

• サービス拒否 (DoS): 8
• 情報漏洩: 5
• セキュリティ機能のバイパス: 3

図 1: 1 月は情報漏洩の脆弱性が多数でしたが、2 月は OLE 関連の修正が多く、リモートコード実行の脆弱性がトップに返り咲きました。

製品

• Windows: 43
• Azure: 8
• Dynamics 365: 8
• Office: 5
• .NET: 1
• ASP.NET: 1 (Visual Studio と共通)
• Defender: 1
• Entra [Azure AD]: 1
• Exchange: 1
• Outlook 365: 1
• Skype: 1
• Teams for Android: 1
• Visual Studio: 1 (ASP.NET と共通)

図 2: Windows Defender Application Control (WDAC) の修正プログラムの多さもあり、今月は Windows の修正プラグラムが多い月となりました。

2 月の注目すべきアップデート

上述した問題の他にも、注目に値する項目がいくつかあります。

CVE-2024-21350、CVE-2024-21352、CVE-2024-21358、CVE-2024-21359、CVE-2024-21360、CVE-2024-21361、CVE-2024-21365、CVE-2024-21366、CVE-2024-21367、CVE-2024-21368、CVE-2024-21369、CVE-2024-21370、CVE-2024-21375、CVE-2024-21391 (15 件のCVE)

Microsoft WDAC OLE DB プロバイダーの SQL Server リモートコード実行の脆弱性

名前だけでなく、深刻度 (重要)、影響 (RCE)、高い CVSS ベーススコア (8.8)、そして発見者の匿名性 (Microsoft は 15 件すべてを「Anonymous」と表記) が同一の 15 件の CVE です。これらの CVE には、番号と名前以外すべて同一の追加 (関連) パッチがリリースされています。CVE-2024-21353 (Microsoft WDAC ODBC ドライバーのリモートコード実行の脆弱性) です。

CVE-2024-21404
Microsoft Entra Jira シングルサインオンプラグインの権限昇格の脆弱性

特に注目すべきこの EoP は、Microsoft が深刻度を「重要」に設定していますが、CVSS ベーススコアは「緊急」に相当する 9.8 であり、Azure AD Jira SSO プラグインを標的にしています。重要なのは、認証を行わなくても問題を引き起こせるという点です。スクリプトを使用して標的となる Jira サーバーにアクセスするだけで、攻撃者はプラグインの Entra ID SAML メタデータと情報を更新することができ、アプリケーションの認証を自由に変更できます。修正プログラムはバージョン 1.1.2 へのアップデートで、Microsoft Download Center または Atlassian Marketplace から入手できます。

CVE-2024-21410
Microsoft Exchange Server の権限昇格の脆弱性

今月、CVSS スコアが 9.8 であったもう 1 件の CVE は、NTLM リレー (パスザハッシュ) の脆弱性です。この脆弱性により、攻撃者はユーザーから窃取した Net-NTLMv2 ハッシュを脆弱な Exchange Server に対してリレーし、ユーザーとして認証できるようになります。この脆弱性は、以下のソフトウェアのさまざまなバージョンに影響を及ぼします。Exchange Server 2016、累積アップデート 23。xchange Server 2019、累積アップデート 13。Exchange Server 2019、累積アップデート 14。詳細は Microsoft の Exchange Team Blog に掲載されていますが、同社はこの脆弱性は今後 30 日以内に悪用される可能性が高いと見ています。

CVE-2024-21378
Microsoft Outlook のリモートコード実行の脆弱性

Preview Pane がこの深刻度「重要」、CVSS スコア 8.0 である RCE の脆弱性に用いられる攻撃手法であり、Microsoft は、今後 30 日以内に悪用される可能性が高いと見ています。危険は差し迫っています。(つまり、2 月には Outlook 関連の、Preview Pane をトリガーとする脆弱性の悪用が 2 つ発生することになります。一方、もう 1 件の CVE-2024-21413 は、Microsoft によって現在 Exploitation Unlikely (悪用可能性低) とマークされています。)

CVE-2024-21374
Microsoft Teams for Android の情報漏洩

この深刻度「重要」な情報漏洩の問題に対するパッチは、Google Play から入手可能です。

図 3: 現在までにパッチ数はわずか 120 件と、他の年に比べてかなり遅れています。(2023 年の最初の 2 か月は 173 件、2022 年は 154 件、2021 年は 139 件、2020 年は 150 件でした。)

ソフォス製品による保護

今までと同様に、Microsoft の更新プログラムが自動的にダウンロードするのを待てない場合は、Windows Update カタログの Web サイトから手動でダウンロードできます。winver.exe ツールを実行してお使いの Windows 10 または 11 のビルドを確認し、お使いのシステムのアーキテクチャとビルド番号に対応する累積的更新プログラムパッケージをダウンロードしてください。

付録 A: 脆弱性の影響と深刻度

2 月のパッチを影響度順に並べ、さらに深刻度順に並べたリストです。各項目はさらに CVE 別に並んでいます。

リモートコード実行 (30 件の CVE)

権限昇格 (16 件の CVE)

スプーフィング (10 件の CVE)

サービス拒否 (8 件の CVE)

情報漏洩 (5 件の CVE)

セキュリティ機能のバイパス (3 件の CVE)

付録 B: 悪用可能性

Microsoft が 2 月に公表した CVE のリストで、リリース後 30 日以内にすでに悪用されているか、悪用される可能性が高いと判断されたものです。各項目はさらに CVE 別に並んでいます。

付録 C: 影響を受ける製品

2 月のパッチを製品ファミリ順に並べ、さらに深刻度順に並べたリストです。各項目はさらに CVE 別に並んでいます。複数の製品ファミリで共通のパッチは、各製品ファミリ毎に複数回記載されています。

Windows (43 件の CVE)

Azure (8 件の CVE)

Dynamics 365 (8 件の CVE)

Office (5 件の CVE)

.NET (1 件の CVE、Visual Studio と共通)

ASP.NET (1 件の CVE)

Defender (1 件の CVE)

Entra (1 件の CVE)

Exchange (1 件の CVE)

Outlook 365 (1 件の CVE)

Skype (1 件の CVE)

Teams for Android (1 件の CVE)

Visual Studio (1 件の CVE、ASP.NET と共通)

付録 D: アドバイザリおよび他の製品

2 月の Microsoft のリリースに含まれるアドバイザリとその他の関連する CVE に関する情報を製品別に並べたリストです。

Edge/Chromium 関連 (6 件の CVE)

Windows 関連 (Microsoft 以外によるリリース) (1 件の CVE)

Adobe 関連 (13 件の CVE)