Microsoftは米国時間6月14日、毎月米国時間第2火曜日にリリースする月例セキュリティパッチ「Patch Tuesday」で、リモートコード実行(RCE)の脆弱性を含む55件の脆弱性に対処した。
今回のセキュリティパッチには、RCEの脆弱性のほか、情報漏えいや、特権昇格(EoP)、解放後のメモリ使用、領域外(OOB)メモリーアクセスに関する問題が含まれている。
今回のセキュリティパッチで影響を受ける製品には、「Windows」OSのほか、「Microsoft Office」や「Hyper-V Server」「Microsoft Azure」「Windows Defender」が含まれている。全体で見た場合、「緊急」(critical)と評価されたものが3件、「中」(moderate)と評価されたものが1件で、残りは「重要」(important)と評価されている。
今回対処された脆弱性の多くはRCEに関するものだが、同社によると、5月に公開した「Microsoft Windows Support Diagnostic Tool(MSDT)」の脆弱性である「CVE-2022-30190」を除き、実際の悪用事例が報告されているものはないという。
今回のセキュリティパッチで対処される深刻な脆弱性には以下が含まれている。
- CVE-2022-30136:共通脆弱性評価システム(CVSS)で9.8と評価された、「Windows Network File System」に存在するRCEの脆弱性。この脆弱性を悪用するには、Network File System(NFS)サービスに対して、細工を施した、認証されていない呼び出しを実行する必要がある。
- CVE-2022-30163:CVSSで8.5と評価された、「Windows Hyper-V」に存在するRCEの脆弱性。攻撃者は、Hyper-Vのゲストセッション上で、特殊な細工を施したアプリケーションを実行することで、この脆弱性を悪用できるようになる。
- CVE-2022-30139:CVSSで7.5と評価された、「Windows Lightweight Directory Access Protocol(LDAP)」に存在するRCEの脆弱性。ただしこの脆弱性が問題となるのは、LDAPの「MaxReceiveBuffer」ポリシーがデフォルト値よりも大きく設定されている場合のみだ。
- CVE-2022-30164:CVSSで8.4と評価された、「Kerberos AppContainer」に存在するセキュリティ機能をバイパスしてしまうという脆弱性。この脆弱性を悪用することで、ユーザーアクセス制御のチェックを実行するサービスチケット機能をバイパスできるようになる。
- CVE-2022-30157:CVSSで8.8と評価された、「Microsoft SharePoint Server」に存在するRCEの脆弱性。攻撃者がこの脆弱性を悪用するには、認証処理を経た上で、ページ生成権限を獲得しておく必要がある。
- CVE-2022-30165:CVSSで8.8と評価された、「Windows Kerberos」に存在するEoPの脆弱性。これにより、CredSSPを介してリモートから認証保護接続を確立した際にKerberosのログオンプロセスを詐称することが可能になる。
Zero Day Initiative(ZDI)が指摘しているように、「Windows Print Spooler」(Windows印刷スプーラー)に関する対処を含まないセキュリティパッチは久しぶりとなっている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
