MENU

2023年3月のMicrosoft Patch Tuesday

ほぼこもセキュリティニュース

ほぼこもセキュリティニュース By Terilogy Worx

毎月第2火曜日(米国時間)はパッチの日です。
今回もたくさんの適用すべきパッチがリリースされています。
Microsoftのパッチのリリースのスケジュールはいろいろと変更されてきましたが、この形式になってから適用する側としても忘れにくくなりました。
さて、今回も多くの修正が提供されていますが、いくつか注目してみましょう。

  • CVE-2023-23397 – Microsoft Outlookの権限昇格の脆弱性
    こちらのCVSSv3 Base scoreは9.8です。ほぼMaxです。
    細工されたメールが脅威となる類のものですが、こちらはそのなかでも怖い属性があります。
    通常メーラーでは受信したメールをプレビューする機能がありますが、この脅威の細工が施されたメールの場合はそのプレビューの前に悪意ある行為が開始されるというのです。
    「怪しいメールはクリックしないようにしましょう」という世界の対応では対処できないタイミングです。
    パッチを適用するしか回避手段はなさそうです。
    この脆弱性はすでに実際に悪用されている事例があることが確認されています。
  • CVE-2023-24880 – Windows SmartScreenセキュリティ機能バイパスの脆弱性
    こちらのCVSSv3 Base scoreは5.4です。スコアとしては中程度ですが、内容が厳しいです。
    Mark of the Webというものがあります。
    外部から入手したファイルに自動的に付与され、利用者がその外部から入手したファイルを開こうとした際にマクロ実行などの実行をあらかじめ無効化してくれたりする際に利用される機構です。
    この脆弱性はMark of the Webセキュリティ警告をバイパスする実行可能ファイルの作成に使用できます。
    この脆弱性を悪用した脅威も多数既に発生しており、多くのランサムウェア攻撃にも関連しています。

ところでCVE-2023-24880については、後日談的なものになっています。
以前MicrosoftはMark of the Webの関係の修正をCVE-2022-44698としてリリースしています。
後日分かったことですが、この際の修正が根本的な解決となっておらず、そこに気が付いた人が別の新たな悪用の仕方を考えたという話なのです。
このCVE-2023-24880はその別の新たな悪用の仕方に対応するものとなっています。

問題を修正する側としては常に対処を目的とした修正を行うのではなく、根本原因に注目してそれを改善することを狙って活動しますが、常にそれが達成できるかはわかりません。
これはある程度仕方のないことだと考えられます。
利用者にできるのはせっかく提供されている修正をなるべくタイムリーに適用するということに尽きると思います。

今月も2つのゼロデイ脆弱性と合計83の欠陥の修正が含まれる内容がリリースされています。
さあ、手元の環境に適用していきましょう。

3/21まで、ほぼこもセキュリティニュースはお休みです。
次の更新は2023/3/22以降です。

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。