脆弱性
2022年のMicrosoft月例パッチ第一弾は、大規模なものとなりました。通常のプログラムアップデートだけではなく、96件の脆弱性に対応するほか、Microsoft Edgeの修正(主にChromium関連)が含まれています。そんなわけで、年初から120以上の脆弱性が修正されることとなりました。できるだけ早くOSとMicrosoftアプリケーションをアップデートすることをお勧めします。
危険性の高い脆弱性
今回のアップデートで修正された脆弱性のうち9件は、CVSS 3.1スコアが「緊急」となっています。そのうち、仮想マシンのIDEドライブの脆弱性(CVE-2022-21833)とActive Directory Domain Servicesの脆弱性(CVE-2022-21857)は権限昇格関連です。以下に示すそれ以外の7件は、リモートコード実行を許す脆弱性です。
- CVE-2022-21917 – HEVC ビデオ拡張機能の脆弱性
- CVE-2022-21912、CVE-2022-21898 – DirectX Graphicsカーネルの脆弱性
- CVE-2022-21846 – Microsoft Exchange Serverの脆弱性
- CVE-2022-21840 – Microsoft Officeの脆弱性
- CVE-2021-22947 – オープンソースCurlの脆弱性
- CVE-2022-21907 – HTTPプロトコルスタックの脆弱性
CVE-2022-21907は、特に厄介なものに見受けられます。HTTPプロトコルスタック内にバグがあるため、論理的には、攻撃者がコンピューター上で任意のコードを実行可能となるだけでなく、ローカルネットワーク内に攻撃を拡散させることが可能になります(Microsoftはこの脆弱性を「wormable」としており、要するにワームの作成に利用可能であるということです)。この脆弱性が影響するのはWindows 10、Windows 11、Windows Server 2022、Windows Server 2019です。しかしMicrosoftによると、Windows Server 2019およびWindows 10バージョン1809については、レジストリ内のHTTP Trailer Supportキーを使用してHTTP Trailer Supportを有効にしている場合は影響を受けるとのことです。
また、Microsoft Exchange Serverに存在する深刻な脆弱性、CVE-2022-21846について、専門家の間で懸念が表明されています(なお、Microsoft Exchange Serverの脆弱性はこれ以外にもあります)。Microsoft Exchange Serverの脆弱性が次々と悪用された昨年のような事態は避けたいものです。
概念実証(PoC)が公になっている脆弱性
修正された脆弱性の一部は、セキュリティコミュニティの間ではすでに知られていました。それだけでなく、概念実証コードが公開されています。
- CVE-2022-21836 — Windows 証明書のなりすましの脆弱性
- CVE-2022-21839 — Windows イベントトレーシングの随意アクセス制御リストのサービス拒否の脆弱性
- CVE-2022-21919 — Windows User Profile Service の特権の昇格の脆弱性
これら脆弱性を悪用した現実の攻撃は、今のところ観測されていませんが、概念実証コードが公になっていることから、悪用がいつ始まってもおかしくありません。
対策
まずは、できるだけ早くOS(さらに、Microsoftのその他プログラム)をアップデートしてください。一般に、重要なソフトウェアへのパッチ適用はすぐに行った方が賢明です。
さらに、インターネットに接続するコンピューターまたはサーバーは、既知の脆弱性だけでなく未知の攻撃をも検知可能なセキュリティ製品で保護してください。
ヒント