マイクロソフト、3月の月例パッチ公開--2件の「Windows」ゼロデイ脆弱性に対処

　Microsoftは米国時間3月12日、「Patch Tuesday」として知られる月例セキュリティパッチをリリースした。

　今回のアップデートでは、64件の脆弱性が修正されている。そのうちの17件は「緊急」（Critical）に分類されており、同社の主力製品である「Windows」OSに影響を与えるゼロデイ脆弱性も2件含まれている。

　これらゼロデイ脆弱性の1つは、Googleが先週明らかにしたものだ。Googleによると、この脆弱性は32ビット版の「Windows 7」ユーザーに対する攻撃で悪用されていたという。

　Microsoftは12日、この脆弱性（「CVE-2019-0808」）に対処するために、Windows 7と「Windows Server 2008」に対するパッチもリリースした。

　Googleが5日に発表したセキュリティアラートによると、攻撃者は「Google Chrome」のゼロデイ脆弱性とWindowsのゼロデイ脆弱性を組み合わせることで、ブラウザのサンドボックスを回避し、標的システム上で悪意のあるコードを実行していたという。

　このエクスプロイトチェーン（ある目的の達成に向けて組み合わされた一連のエクスプロイト）におけるCVE-2019-0808の役割は、攻撃者がChromeのゼロデイ脆弱性を突いて同ブラウザのセキュリティサンドボックスを回避した後で、管理者特権で悪意のあるコードを実行できるようにするというものだ。

　Googleも先週、Chrome 72.0.3626.121のリリースで同社側の問題を修正している。

　さらにMicrosoftは同日、2件目のゼロデイ脆弱性に対してもパッチを提供した。この脆弱性（「CVE-2019-0797」）はKaspersky Labのリサーチャーらによって発見されたものだ。1件目のゼロデイ脆弱性と同様に、こちらも攻撃者による管理者権限でのコード実行を可能にする、特権昇格（EoP）に関するものとなっている

　Microsoftはセキュリティアドバイザリに「Win32kコンポーネントがメモリ内のオブジェクトの適切な処理に失敗した場合に、Windowsに特権の昇格の脆弱性が存在します。攻撃者によりこの脆弱性が悪用された場合、カーネルモードで任意のコードが実行される可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります」と記している。

　このゼロデイ脆弱性は、「Windows 10」を含むすべてのバージョンのWindowsに影響を与える。なお、MicrosoftとKasperskyは同脆弱性を突く攻撃の詳細について明らかにしていない。

　これら2件のゼロデイ脆弱性の修正に加えて、Microsoftは「Windows DHCP」クライアントに存在する脆弱性も（再び）修正した。今回対処された3件の脆弱性（「CVE-2019-0697」と「CVE-2019-0698」「CVE-2019-0726」）は悪用された場合、標的のマシンが遠隔地から乗っ取られる可能性がある。

　最後になったが重要な点として、Microsoftは「Windows Deployment Services」（WDS）における問題のフィックスとして2018年に発行したパッチについても修正を実施した。この問題は、Check Pointによって報告されたWDSにおける類似の問題とは異なるものだ。