米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月13日(米国時間)、「Microsoft Releases Security Updates for Multiple Products|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

  • Security Update Guide - Microsoft

    Security Update Guide - Microsoft

脆弱性が存在するとされるプロダクト

脆弱性が存在するとされるプロダクトは次のとおり。

  • .NET
  • Android 用 Microsoft Teams
  • Azure Active Directory
  • Azure Connected Machine エージェント
  • Azure DevOps
  • Azure File Sync
  • Azure Site Recovery
  • Azure Stack
  • Microsoft ActiveX
  • Microsoft Azure Kubernetes Service
  • Microsoft Defender for Endpoint
  • Microsoft Dynamics
  • Microsoft Edge (Chromium ベース)
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Office OneNote
  • Microsoft Office Outlook
  • Microsoft Office Word
  • Microsoft WDAC ODBC ドライバー
  • Microsoft Windows
  • Microsoft Windows DNS
  • Skype for Business
  • SQL Server
  • SQL 用 Microsoft WDAC OLE DB プロバイダー
  • Windows Hyper-V
  • Windows LDAP
  • Windows OLE
  • Windows SmartScreen
  • Windows USB シリアル ドライバー
  • Windows Win32K - ICOMP
  • Windows インターネット接続の共有 (ICS)
  • Windows カーネル
  • Windows メッセージ キュー
  • インターネット ショートカット ファイル
  • トラステッド コンピューティング ベース
  • ロール: DNS サーバー

セキュリティアップデートの対象となる製品は多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。

速やかにアップデートを

CISAは、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

なおCISAは、上記累積更新プログラムが修正している次の2つの脆弱性に関して「Known Exploited Vulnerabilities Catalog」への追加を行っている。これはこの2つの脆弱性の悪用が確認されていることを意味しており、迅速に対応することを必要性を示している(参考「CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA」)。

  • CVE-2024-21412 - Microsoft Windowsインターネットショートカットファイルにおけるセキュリティ機能バイパスの脆弱性
  • CVE-2024-21351 - Microsoft Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性

MicrosoftはWindows Updateなどを通じて修正プログラムの配信を開始している。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。