Microsoft製品に複数の脆弱性、悪用を確認済み - ただちにアップデートを

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月12日(米国時間)、「Microsoft Releases September 2023 Updates｜CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。

2023 年 9 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクトは次のとおり。

.NET Core と Visual Studio

.NET Framework

.NET と Visual Studio

3D Builder

3D ビューアー

Azure DevOps

Azure HDInsights

Microsoft Azure Kubernetes Service

Microsoft Dynamics

Microsoft Dynamics Finance & Operations

Microsoft Exchange Server

Microsoft Identity Linux ブローカー

Microsoft Office

Microsoft Office Excel

Microsoft Office Outlook

Microsoft Office SharePoint

Microsoft Office Word

Microsoft Stream サービス

Microsoft Windows Codecs Library

Visual Studio

Visual Studio Code

Windows Cloud Files Mini Filter Driver

Windows Defender

Windows DHCP サーバー

Windows GDI

Windows TCP/IP

Windows Themes

Windows インターネット接続の共有 (ICS)

Windows カーネル

Windows スクリプト

Windows 共通ログ ファイル システム ドライバー

修正対象となっている脆弱性のうち「CVE-2023-36802」および「CVE-2023-36761」は、Microsoftによって悪用の事実が確認されている。今後、これら脆弱性を利用した被害が拡大することが指摘されており、迅速にアップデートを適用することが望まれている(参考「Microsoft 製品の脆弱性対策について(2023年9月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。

セキュリティアップデートの対象となる製品が多岐にわたる上、一部の脆弱性は深刻度が緊急（Critical）に分類されており注意が必要。MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。