Windows、Exchangeなどにゼロデイ脆弱性6件 ～Microsoftの2022年11月セキュリティ更新

2022年11月のセキュリティ更新プログラム

　米Microsoftは11月8日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Microsoft Update Catalog」から入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• .NET Framework
• AMD CPU Branch
• Azure
• Azure Real Time Operating System
• Linux Kernel
• Microsoft Dynamics
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Office Word
• Network Policy Server (NPS)
• Open Source Software
• Role: Windows Hyper-V
• SysInternals
• Visual Studio
• Windows Advanced Local Procedure Call
• Windows ALPC
• Windows Bind Filter Driver
• Windows BitLocker
• Windows CNG Key Isolation Service
• Windows Devices Human Interface
• Windows Digital Media
• Windows DWM Core Library
• Windows Extensible File Allocation
• Windows Group Policy Preference Client
• Windows HTTP.sys
• Windows Kerberos
• Windows Mark of the Web (MOTW)
• Windows Netlogon
• Windows Network Address Translation (NAT)
• Windows ODBC Driver
• Windows Overlay Filter
• Windows Point-to-Point Tunneling Protocol
• Windows Print Spooler Components
• Windows Resilient File System (ReFS)
• Windows Scripting
• Windows Win32K

　今月のパッチでは、CVE番号ベースで67の脆弱性が新たに対処された。なかでも以下の6件はすでに悪用の事実が確認されており、一刻も早い対応が必要だ（括弧内は深刻度の評価）。「CVE-2022-41091」に関しては攻撃の手法も広く出回っている。

• CVE-2022-41091：Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性（Important）
• CVE-2022-41040：Microsoft Exchange Server の特権の昇格の脆弱性（Critical）
• CVE-2022-41082：Microsoft Exchange Server のリモートでコードが実行される脆弱性（Critical）
• CVE-2022-41128：Windows スクリプト言語のリモートでコードが実行される脆弱性（Critical）
• CVE-2022-41125：Windows CNG キー分離サービスの特権の昇格の脆弱性（Important）
• CVE-2022-41073：Windows 印刷スプーラーの特権の昇格の脆弱性（Important）

　深刻度が「Critical」と評価されている、とくに警戒を要する脆弱性は12件。前述のゼロデイ脆弱性に含まれるものを除くと、以下の9件となる。

• CVE-2022-39327：GitHub: CVE-2022-39327 Improper Control of Generation of Code ('Code Injection') in Azure CLI
• CVE-2022-41080：Microsoft Exchange Server の特権の昇格の脆弱性
• CVE-2022-38015：Windows Hyper-V のサービス拒否の脆弱性
• CVE-2022-37967：Windows Kerberos の特権の昇格の脆弱性
• CVE-2022-37966：Windows Kerberos RC4-HMAC の特権の昇格の脆弱性
• CVE-2022-41039：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-41088：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-41044：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2022-41118：Windows スクリプト言語のリモートでコードが実行される脆弱性

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースや定例外リリースの内容も含まれる。

　「Windows 11 バージョン 22H2」環境で「Xbox Game Bar」アプリを用いてゲームプレイを動画キャプチャーする際、音声が同期しない問題も解決されており、近々セーフガードが解除される見込み。

• Windows 11 バージョン 22H2：KB5019980
• Windows 11 バージョン 21H2：KB5019961
• Windows 10 バージョン 22H2：KB5019959
• Windows 10 バージョン 21H2：KB5019959
• Windows 10 バージョン 21H1：KB5019959
• Windows Server 2022：KB5019081
• Windows Server 2019：KB5019966
• Windows Server 2016：KB5019964

　なお、以下の問題はまだ修正されていないので注意。

Windows 8.1およびWindows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB5020023
• Windows 8.1/Windows Server 2012 R2 セキュリティのみ：KB5020010
• Windows Server 2012 マンスリー ロールアップ：KB5020009
• Windows Server 2012 セキュリティのみ：KB5020003

　なお、企業向けの有償延長サポート「拡張セキュリティ更新プログラム（ESU）」に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けにもパッチが提供される。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• November 2022 updates for Microsoft Office

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間10月31日にリリースされたv107.0.1418.26。

Microsoft Visual Studio

　「Visual Studio」関連では、1件の脆弱性が修正された。v17.3、v17.2、v17.0、v16.11、v15.9でアップデートが配信されている。

• CVE-2022-39253（重要：情報漏洩）
• CVE-2022-41119（重要：リモートでコードが実行される）

Microsoft SharePoint

　「Microsoft SharePoint」関連では、5件の脆弱性が修正された。

• CVE-2022-41060（重要：情報漏洩）
• CVE-2022-41061（重要：リモートでコードが実行される）
• CVE-2022-41062（重要：リモートでコードが実行される）
• CVE-2022-41103（重要：情報漏洩）
• CVE-2022-41122（重要：なりすまし）

Microsoft Exchange

　「Microsoft Exchange Server」では、6件の脆弱性が修正された。ゼロデイ脆弱性も含まれるので、公式ブログの情報も参照しつつ、できるだけ早く対処しておきたい。

• CVE-2022-41040（緊急：特権の昇格）
• CVE-2022-41082（重要：リモートでコードが実行される）
• CVE-2022-41080（緊急：特権の昇格）
• CVE-2022-41078（重要：なりすまし）
• CVE-2022-41079（重要：なりすまし）
• CVE-2022-41123（重要：特権の昇格）

.NET

　「Microsoft .NET Framework」では、1件の脆弱性が修正された。

• CVE-2022-41064（重要：情報漏洩）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Windows Sysmon：1件（重要：1件）
• Windows Subsystem for Linux：1件（重要：1件）
• vcpkg：2件（不明：2件）
• Nuget 4.8.5：1件（重要：1件）
• Nuget 2.1.2：1件（重要：1件）
• Microsoft Dynamics 365 Business Central 2022 Release Wave 1：1件（重要：1件）
• Microsoft Azure Kubernetes Service：2件（不明：2件）
• Azure SDK for C++：2件（不明：2件）
• Azure RTOS GUIX Studio：1件（重要：1件）
• Azure EFLOW：1件（重要：1件）
• Azure CycleCloud 8：1件（重要：1件）
• Azure CycleCloud 7：1件（重要：1件）
• Azure CLI：1件（緊急：1件）