Microsoft、少量パッチ更新での Hyper-V の重大な欠陥を公開

Microsoft は、60 月のパッチ火曜日セキュリティ更新プログラムで XNUMX の固有の CVE に対するパッチを発行しましたが、そのうちの XNUMX つだけが「緊急」と評価され、優先的な対応が必要とされています。どちらも Windows Hyper-V 仮想化テクノロジに影響します。 CVE-2024-21407、リモートコード実行 (RCE) のバグ。そして CVE-2024-21408、 これはサービス拒否 (DoS) の脆弱性です。 

このアップデートには、合計 18 件の RCE 欠陥と XNUMX 件の特権昇格の脆弱性に対する修正が含まれており、そのうちのいくつかは、脅威アクターが影響を受けるシステムの管理制御を取得することを可能にします。

特に、Microsoft が重大度が「重要」のみで悪用される可能性が低いと評価しているいくつかの脆弱性は、悪用された場合に潜在的な影響が及ぶため、依然として CVSS 脆弱性重大度スケールで 9.0 段階中 10 以上の重大度スコアを持っています。

「今月の パッチ火曜日 これにより、Microsoft から修正された脆弱性は合計 60 件に減少し、先月の 74 件の更新から減少しました」と、Action1 の社長兼共同創設者である Mike Walters 氏は電子メールでのコメントで述べています。 「今月特に欠席しているのは、 ゼロデイ脆弱性 または概念実証 (PoC) は、比較的穏やかな瞬間を強調しています。」

重大な RCE、DoS Hyper-V の脆弱性

Critical Start のサイバー脅威インテリジェンス調査アナリストであるサラ・ジョーンズ氏は、「Hyper-V の RCE バグにより、攻撃者は影響を受けるシステムを完全に制御し、Hyper-V サーバー上にある仮想マシンを侵害する可能性がある」と述べています。

一方、DoS の脆弱性により、攻撃者は Hyper-V サービスをクラッシュさせ、使用不能にすることができます。

「これにより、ユーザーは Hyper-V サーバー上でホストされている仮想マシン (VM) にアクセスできなくなり、重要な業務運営に重大な中断を引き起こす可能性があります」とジョーンズ氏は指摘します。 「Hyper-V を使用している場合は、これらの重大な脆弱性に対処し、システムを保護するために、セキュリティ更新プログラムをすぐにインストールすることが重要です。」

Microsoft の権限昇格に関するバグが相次ぐ

Microsoft は、今週公開した脆弱性のうち 6 件を、脅威攻撃者が将来悪用する可能性が高い欠陥として特定しました。これらのほとんどは、特権昇格に関する脆弱性でした。彼らには含まれていました CVE-2024-26170 Windows 複合イメージ ファイル システム内。 CVE-2024-26182 Windows カーネル内。 CVE-2024-21433 Windows 印刷スプーラー内。そして CVE-2024-21437 Windows グラフィックス コンポーネント内。

Tenable の上級研究員であるサトナム ナラン氏は、特権昇格の欠陥は、ランサムウェア グループやその他の金銭目的の攻撃者よりも、APT (Advanced Persistent Threat) 攻撃者の悪用後のシナリオでより興味深いものとなる可能性が高いと述べています。

「APT グループの目的は通常、スパイ活動に関連しています」とナラン氏は電子メールでの声明で説明した。 「APT グループは可能な限り目立たないようにすることを好みますが、ランサムウェア関連会社は金銭的利益を目的としているため、叩き潰すアプローチに重点を置いています。」

Immersive Labs の主任サイバーセキュリティ エンジニア、Ben McCarthy 氏は電子メールでのコメントの中で、Windows カーネルの特権昇格の脆弱性 (CVE-2024-26182) を指摘し、攻撃者が悪用できるのは影響を受けるシステムへのアクセス権をすでに取得している場合に限られていると指摘しました。 。しかし、このバグが成功すると、攻撃者は完全なシステムレベルの権限を取得できるようになります。  

「この種の脆弱性は、通常、Active Directory や重要な Windows Server など、ネットワーク内の重要なマシンを完全に乗っ取るために使用されます」とマッカーシー氏は述べています。

Microsoft のバグ: 重要だが優先度は高い

Microsoft が「重要」とのみ評価した重大度の高いバグの 1 つは次のとおりです。 CVE-2024-21334、オープン管理インフラストラクチャ (OMI) の評価 9.8 の RCE 脆弱性. Qualys の脅威研究部門の脆弱性研究マネージャーである Saeed Abbasi 氏は、そのスコアを理由に、このバグをパッチの優先順位リストで上位にすべきバグであると特定しています。

「この脆弱性により、リモートの認証されていない攻撃者は、use-after-free エラーを悪用する特別に作成されたリクエストを送信することで、インターネット経由で公開された OMI インスタンス上で任意のコードを実行することができます」とアッバシ氏は言います。 「IT環境の管理におけるOMIの役割を考慮すると、潜在的な影響は膨大であり、オンラインでアクセスできる多数のシステムに影響を与える可能性があります。」

Microsoftは悪用の可能性は低いと考えているが、重要なコンポーネントに対する攻撃ベクトル（UAF）の単純さは、脅威レベルを過小評価すべきではないことを示唆している、と同氏は警告する。過去には、次のようなバグがありました。 OMIGOD 一連の OMI 脆弱性 2021 年には攻撃者にとって大きな関心が寄せられています。

CVE-2024-20671、Microsoft Defender セキュリティ機能バイパスの欠陥、および CVE-2024-21421一部のセキュリティ専門家によると、Azure SDK のスプーフィングの脆弱性は、「重要」という評価よりもさらに注意を払う価値のある他の 2 つの欠陥です。

「これらの特定の脆弱性には回避策やパッチがありますが、脅威アクターがこれらの方向に集中していることは憂慮すべきことです」とフォートラのセキュリティ担当シニアマネージャー、タイラー・レグリ氏は用意したコメントの中で述べた。

彼はまた、Microsoft Authenticator の特権昇格のバグも指摘しました (CVE-2024-21390) 管理者が注意を払う必要があるものとして。 「この脆弱性の悪用に成功すると、攻撃者がユーザーの多要素認証（MFA）コードにアクセスできるようになる可能性がある」とレギュリー氏は述べた。 「マイクロソフトはこれを CVSS スコア 7.1 で評価し、被害者はアプリケーションを閉じてから再度開く必要があるため、ユーザーの操作が必要であることを示しました。」

全体として、大量の Microsoft パッチの処理に慣れている管理者にとって、過去 181 か月間は通常とは一線を画したものでした。たとえば、Microsoft が月例セキュリティ更新プログラムのゼロデイ バグを開示しないのは 237 か月連続です。これまでのところ、今年の第 XNUMX 四半期に Microsoft は合計 XNUMX 件の CVE に対してパッチを発行しましたが、これは過去 XNUMX 年間の第 XNUMX 四半期の平均である XNUMX 件のパッチよりも大幅に少ないと Tenable のナラン氏は述べています。

「過去 86 年間で 60 月にパッチが適用された CVE の平均数は XNUMX でした」とナラン氏は言いました。 「今月、パッチが適用された CVE は XNUMX 件のみでした。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/microsoft-discloses-two-critical-hyper-v-flaws-low-volume-patch-update