ニュース

Microsoftの2023年3月セキュリティ更新～「Outlook」に致命的な脆弱性、悪用も確認

「Windows 11 バージョン 22H2」にはAI検索、タブ化「メモ帳」、デスクトップ録画も

樽井秀人

2023年3月15日 09:10

2023年3月のセキュリティ更新プログラム

　米Microsoftは3月14日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

Azure
Client Server Run-time Subsystem (CSRSS)
インターネット制御メッセージプロトコル (ICMP)
Microsoft Bluetooth ドライバー
Microsoft Dynamics
Microsoft Edge (Chromium ベース)
Microsoft Graphics コンポーネント
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft OneDrive
Microsoft PostScript プリンタードライバー
Microsoft プリンタードライバー
Microsoft Windows Codecs Library
Office for Android
リモートアクセスサービス Point-to-Point トンネリングプロトコル
ロール: DNS サーバー
ロール: Windows Hyper-V
Service Fabric
Visual Studio
Windows アカウント制御
Windows Bluetooth サービス
Windows Central Resource Manager
Windows Cryptographic サービス
Windows Defender
Windows HTTP プロトコルスタック
Windows HTTP.sys
Windows インターネットキー交換 (IKE) プロトコル
Windows カーネル
Windows Partition Management Driver
Windows Point-to-Point Protocol over Ethernet (PPPoE)
Windows リモートプロシージャコール
Windows リモートプロシージャコールランタイム
Windows Resilient File System (ReFS)
Windows セキュリティで保護されたチャネル
Windows SmartScreen
Windows TPM
Windows Win32K

　今月のパッチでは、CVE番号ベースで80件の脆弱性が新たに対処された。

　悪用の事実が確認されているのは、以下の2件（括弧内は深刻度の評価）。「Outlook」の特権昇格の脆弱性（CVE-2023-23397）は深刻度も高く、警戒を要する。また、「CVE-2023-24880」に関しては攻撃方法も広く知られており、さらなる悪用の恐れもある。できるだけ早い対応を心がけたい。

CVE-2023-23397：Microsoft Outlook Elevation of Privilege Vulnerability（Critical）
CVE-2023-24880：Windows SmartScreen のセキュリティ機能のバイパスの脆弱性（Moderate）

　そのほかにも、以下の脆弱性が「Critical」と評価されている。これらに関しても警戒が必要。

CVE-2023-23392：HTTP プロトコルスタックのリモートでコードが実行される脆弱性
CVE-2023-23415：インターネット制御メッセージプロトコル (ICMP) のリモートでコードが実行される脆弱性
CVE-2023-21708：リモートプロシージャコールランタイムのリモートでコードが実行される脆弱性
CVE-2023-23416：Windows Cryptographic Services のリモートでコードが実行される脆弱性
CVE-2023-23411：Windows Hyper-V のサービス拒否の脆弱性
CVE-2023-23404：Windows Point-to-Point トンネリングプロトコルのリモートでコードが実行される脆弱性
CVE-2023-23404：Windows Point-to-Point トンネリングプロトコルのリモートでコードが実行される脆弱性

　加えて、「Windows 11」の要件ともなっている「TPM2.0」モジュールでも深刻度「Critical」の脆弱性（CVE-2023-1017、CVE-2023-1018）が報告されている。メーカーから対策版のドライバーが提供されていれば適用しておきたい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースでの変更が含まれている。

　とくに「Windows 11 バージョン 22H2」には多くの改善が導入されているが、OSが起動不能になる既知の脆弱性もある。パッチを適用する前に、影響のあるサードパーティ製品のアンインストールをお勧めする。

Windows 11 バージョン 22H2：KB5023706
Windows 11 バージョン 21H2：KB5023698
Windows 10 バージョン 22H2：KB5023696
Windows 10 バージョン 21H2：KB5023696
Windows 10 バージョン 20H2：KB5023696
Windows Server 2022：KB5023705
Windows Server 2019：KB5023702
Windows Server 2016：KB5023697

　なお、「Windows 10 バージョン 20H2」Enterprise/Educationのサービス終了が5月9日に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリーロールアップ」の2種類が用意されているが、可能な限り「マンスリーロールアップ」の適用が推奨されているので注意したい。

Windows Server 2012 R2 マンスリーロールアップ：KB5023765
Windows Server 2012 R2 セキュリティのみ：KB5023764
Windows Server 2012 マンスリーロールアップ：KB5023756
Windows Server 2012 セキュリティのみ：KB5023752

　Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

　上述の通り、「Outlook」において致命的な脆弱性（CVE-2023-23397）が対処されているので注意したい。すでに悪用も確認されている。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間3月13日にリリースされたv111.0.1661.41。

　また、「Webview2」でも1件の脆弱性が修正されている。「Webview2」はアプリがWebコンテンツを表示するために利用する「Edge」コンポーネントだ。

CVE-2023-24892（重要：なりすまし）

Microsoft Visual Studio

　「Microsoft Visual Studio」では、4件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4/17.5、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。