CVE-2024-49138 Windows Common Log File System Driver の特権昇格の脆弱性
2024/12/26 - 読み終える時間: 7 分
Microsoft December Patch Tuesday: Critical Zero-Day Vulnerability Fixed の翻訳版です。
CVE-2024-49138 Windows Common Log File System Driver の特権昇格の脆弱性
2024年12月24日
著者: Alessandro De Lorenzi / HCL Product Manager
2024年12月最後のパッチ・チューズデーで、マイクロソフトは72の新しい脆弱性に対処するセキュリティ更新プログラムをリリースした。72件のうち、ゼロデイに分類されているのは1件のみで、CVEの75%は重要(全72件のうち54件)、残りの25%は重要(Critical)と評価されている。中程度と評価されたCVEは1件のみです。
今月の脆弱性の43%はリモート・コード実行(RCE)に分類され、38%は特権の昇格(EoP)に分類されます。
ゼロデイ脆弱性の修正
マイクロソフトの12月パッチ・チューズデーでは、公に公開され、野放しで悪用されていることが知られている重大なゼロデイ脆弱性1件に対処しました。
CVE-2024-49138 Windows Common Log File System Driver の特権昇格の脆弱性
CVE-2024-49138は、攻撃者がCLFSドライバのメモリの不適切な取り扱いを利用して、管理者またはシステムレベルに特権を昇格させ、任意のコードを実行したり、セキュリティツールを無効にしたり、機密データを盗んだり、ターゲットデバイスにランサムウェアを展開したりすることを可能にします。攻撃者はこの脆弱性を悪用するためにターゲット・デバイスへのアクセスを必要とするため、このCVEの総合CVSSスコアは7.8に制限されます。
Windowsの全バージョンが影響を受けます。
また、この脆弱性は、CISA によって Known Exploited Vulnerability (KEV) catalog に追加され、その期限は 2024 年 12 月 31 日となっています。
HCL BigFixでは、Windows Server(Win Server 2016、2019、2022、2025など)およびクライアント(Windows 10、11)エディションの両方において、影響を受けるWindowsの各バージョンで、この特定の脆弱性修正のための22種類のフィクスレットを公開しました。
マイクロソフトは、12月のパッチ・チューズデーの一環として、他の重要な脆弱性にも対処した。以下は、その重大性や悪用される危険性から最も関連性の高いものです。
CVE-2024-49112 - Windows LDAP - ライトウェイトディレクトリアクセスプロトコル
マイクロソフトは、LDAP サービスにおけるリモートコード実行の脆弱性 CVE-2024-49112 にパッチを適用しました。この脆弱性により、リモートの認証されていない攻撃者は、影響を受けるドメインコントローラーへの特別に細工された一連の呼び出しを通じて、LDAP サービスのコンテキスト内で任意のコードを実行できます。この欠陥は、今月マイクロソフトが対処した脆弱性の中で最も高いCVSS基本スコアを持っています(CVSS基本スコアは9.8)。
パッチをすぐに適用できない場合は、ドメインコントローラーをインターネットに「アクセスしない」ように設定するか、「信頼できないネットワークからのインバウンドRPCを許可しない」ように設定するよう、マイクロソフトは助言している。この両方の設定を適用することで、この脆弱性に対する効果的な深層防御が提供され、実際、この脆弱性は「悪用される可能性は低い」と分類されています。
この脆弱性の修正は、マイクロソフトの累積的なアップデートで対処されている。HCL BigFixは、サポートされる22のWindowsバージョンそれぞれに対応したFixletをリリースしており、脆弱性修正の包括的なサポートを保証しています。
CVE-2024-49070 - Microsoft SharePoint リモートコード実行の脆弱性
マイクロソフトは、今回のパッチ・チューズデーにおいて、SharePointに関する4つの異なる脆弱性に対応した。CVE 2024-49070は、これら4つの脆弱性の中で最も評価の高いものではないが、マイクロソフトが「悪用の可能性が高い」とした唯一のCVEである。しかし、マイクロソフトは、セキュリティレベルを向上させるために、このソフトウェアに提供されているすべての更新プログラムを適用することを推奨しています。
- 悪用のリスクが高い。この脆弱性に割り当てられたCVSSは7.4である。これにはいくつかの理由があります。
- このCVEの攻撃の複雑性は高い。つまり、攻撃者はエクスプロイトの信頼性を高めるためにターゲット・デバイスを準備しなければなりません。
攻撃ベクターがローカルである。これは、攻撃者がローカル・マシンからコードを実行することを意味します(脆弱性のタイトルが示唆するように、リモートからではありません)。
HCLSoftware は、SharePoint の脆弱性を修正するために、HCL BigFix で以下のフィクスレットを公開しています。
|
500254401 |
MS24-DEC: Security Update for Microsoft SharePoint Enterprise Server 2016 Language Pack - SharePoint Server 2016 - KB5002544 (x64) |
|
500265701 |
MS24-DEC: Security Update for Microsoft SharePoint Server 2019 Core - SharePoint Server 2019 - KB5002657 (x64) |
|
500265801 |
MS24-DEC: Security Update for Microsoft SharePoint Server Subscription Edition - Microsoft SharePoint Server Subscription Edition - KB5002658 (x64) |
|
500265901 |
MS24-DEC: Security Update for Microsoft SharePoint Enterprise Server 2016 - SharePoint Server 2016 - KB5002659 (x64) |
|
500266401 |
MS24-DEC: Security Update for Microsoft SharePoint Server 2019 Language Pack - Microsoft SharePoint Server 2019 - KB5002664 (x64) |
12月パッチチューズデーの HCL BigFix パッチ内容
2024年12月のパッチチューズデーにおいて、HCL BigFix パッチチームは37の異なるFixletを公開し、今月マイクロソフトが対応した72のセキュリティ脆弱性のうち67の脆弱性修正を効果的にサポートしました。
残りのCVEは、他のサイトで利用可能なフィクスレットを使用して最終的に解決されるか、HCL BigFixのコンテンツがサポートされていないコンポーネントや製品に適用されます。マイクロソフトがリリースしたセキュリティ更新プログラムに対するフィクスレットの全リストは、以下のリンク先のHCL BigFixフォーラムでご覧いただけます。
Windows ESU 向け BigFix パッチ チューズデーコンテンツ
今回のパッチ・チューズデーで解決されたゼロデイ脆弱性は、Windows Server 2012および2012 R2バージョンにも影響し、マイクロソフトは、Windows Extended Security Updateプログラムの一環として、この欠陥の解決に対処しました。HCLSoftware のエンドポイント管理プラットフォームであるHCL BigFixでWindows ESUパッチを適用する権利がある場合、Windows Server 2012およびWindows Server 2012 R2(OSの32ビット版と64ビット版の両方がサポートされています)にSecurity Monthly Quality Rollupを展開し、これらのシステムで脆弱性の修復を実行するためのフィクスレットにアクセスできます。