(例によって、多分、日本語ではどこよりも早い、まとめです)

本日公開のマイクロソフトセキュリティ更新プログラム (Windows 系) についてまとめました。
今年最後のパッチチューズデイですが、問題となりそうな脆弱性が含まれています。年末年始の長期休暇前までにはパッチ適用は必須と思われます。

Critical についてですが、LSASS の脆弱性と LDAP の脆弱性が出ています。どちらも Active Directory には必須のサービスですので基本的には軽減しようがありません。きちんとした検証をおこなったうえで、ドメインコントローラには早急なパッチ適用が望まれます。
0-day については、ランサムウェアグループが悪用している可能性があるため注意が必要です。

Windows系の緊急の脆弱性:6 種類 / CVE 別では 16 件 (うち 0-day 0 件)
Critical 以外の 0-day : 1 件


緊急の脆弱性については、以下のとおりです。

① CVE-2024-49124
CVSS スコア:8.1
LDAP クライアントのリモート コード実行の脆弱性
exploitability : Low

② CVE-2024-49122, CVE-2024-49118
CVSS スコア:8.1
Microsoft メッセージ キュー (MSMQ) のリモート コード実行の脆弱性
exploitability : Low

③ CVE-2024-49117
CVSS スコア:8.8
Windows Hyper-V リモートコード実行の脆弱性
exploitability : Low

④ CVE-2024-49112, CVE-2024-49127
CVSS スコア:9.8 / 8.1
LDAP のリモート コード実行の脆弱性
exploitability : Low

⑤ CVE-2024-49126
CVSS スコア:8.1
Windows ローカル セキュリティ機関サブシステム サービス (LSASS) のリモートコード実行の脆弱性
exploitability : Low

⑥ CVE-2024-49106, etc.
CVSS スコア:8.1
Windows リモート デスクトップ サービスのリモート コード実行の脆弱性
exploitability : Low

① 認証されていない攻撃者が、特別に細工したリクエストをサーバーに送信することにより、リモートでコードを実行される可能性があります。

② 攻撃者は特別に細工した悪意のある MSMQ パケットを MSMQ サーバーに送信することにより、サーバー側でリモートでコードを実行します。MSMQ サービスを実行していなければ問題ありません。

③ この脆弱性を利用するには、攻撃者がゲスト VM で認証されている必要があります。また、Hyper-V を使用していなければ関係ありません。

④ 認証されていない攻撃者が、特別に細工された一連の LDAP 呼び出しを通じてコードを実行し、LDAP サービスのコンテキスト内で任意のコードを実行する可能性があります。

⑤ 認証されていない攻撃者が、ネットワーク呼び出しを通じてリモートでコードを実行できる可能性があります。ただし、攻撃難易度は高いようです。LSASS の Critical の脆弱性は特に横展開の危険性があるので注意が必要です。

⑥ リモート デスクトップ ゲートウェイの役割を持つシステムに接続してこれを悪用し、任意のコードを実行させます。これを悪用するには非常に複雑な攻撃が必要であり、攻撃の敷居は高いです。なお、これは基本ですが、不要なリモートデスクトップサービスはダウンさせておくことが必要です。


0-day の脆弱性については、以下のとおりです。

⑦ CVE-2024-49138
CVSS スコア:7.8 (Important)
Windows 共通ログ ファイル システム ドライバーの権限昇格の脆弱性

⑦ 攻撃者がシステム権限を取得できる脆弱性です。既に悪用が確認されていますが、現時点でどのように悪用されるかについての情報は公開されていません。なお、Windows 共通ログ ファイル システム ドライバーの脆弱性はランサムウェアの攻撃に利用されているので注意が必要です。