Microsoftの2023年3月セキュリティ更新 ～「Outlook」に致命的な脆弱性、悪用も確認

2023年3月のセキュリティ更新プログラム

　米Microsoftは3月14日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー、Bリリース）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。以下のMicrosoft製品に対しても、セキュリティアップデートが提供されている。

• Azure
• Client Server Run-time Subsystem (CSRSS)
• インターネット制御メッセージ プロトコル (ICMP)
• Microsoft Bluetooth ドライバー
• Microsoft Dynamics
• Microsoft Edge (Chromium ベース)
• Microsoft Graphics コンポーネント
• Microsoft Office Excel
• Microsoft Office Outlook
• Microsoft Office SharePoint
• Microsoft OneDrive
• Microsoft PostScript プリンター ドライバー
• Microsoft プリンター ドライバー
• Microsoft Windows Codecs Library
• Office for Android
• リモート アクセス サービス Point-to-Point トンネリング プロトコル
• ロール: DNS サーバー
• ロール: Windows Hyper-V
• Service Fabric
• Visual Studio
• Windows アカウント制御
• Windows Bluetooth サービス
• Windows Central Resource Manager
• Windows Cryptographic サービス
• Windows Defender
• Windows HTTP プロトコル スタック
• Windows HTTP.sys
• Windows インターネット キー交換 (IKE) プロトコル
• Windows カーネル
• Windows Partition Management Driver
• Windows Point-to-Point Protocol over Ethernet (PPPoE)
• Windows リモート プロシージャ コール
• Windows リモート プロシージャ コール ランタイム
• Windows Resilient File System (ReFS)
• Windows セキュリティで保護されたチャネル
• Windows SmartScreen
• Windows TPM
• Windows Win32K

　今月のパッチでは、CVE番号ベースで80件の脆弱性が新たに対処された。

　悪用の事実が確認されているのは、以下の2件（括弧内は深刻度の評価）。「Outlook」の特権昇格の脆弱性（CVE-2023-23397）は深刻度も高く、警戒を要する。また、「CVE-2023-24880」に関しては攻撃方法も広く知られており、さらなる悪用の恐れもある。できるだけ早い対応を心がけたい。

• CVE-2023-23397：Microsoft Outlook Elevation of Privilege Vulnerability（Critical）
• CVE-2023-24880：Windows SmartScreen のセキュリティ機能のバイパスの脆弱性（Moderate）

　そのほかにも、以下の脆弱性が「Critical」と評価されている。これらに関しても警戒が必要。

• CVE-2023-23392：HTTP プロトコル スタックのリモートでコードが実行される脆弱性
• CVE-2023-23415：インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性
• CVE-2023-21708：リモート プロシージャ コール ランタイムのリモートでコードが実行される脆弱性
• CVE-2023-23416：Windows Cryptographic Services のリモートでコードが実行される脆弱性
• CVE-2023-23411：Windows Hyper-V のサービス拒否の脆弱性
• CVE-2023-23404：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性
• CVE-2023-23404：Windows Point-to-Point トンネリング プロトコルのリモートでコードが実行される脆弱性

　加えて、「Windows 11」の要件ともなっている「TPM2.0」モジュールでも深刻度「Critical」の脆弱性（CVE-2023-1017、CVE-2023-1018）が報告されている。メーカーから対策版のドライバーが提供されていれば適用しておきたい。

Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。セキュリティ修正に加え、Cリリースでの変更が含まれている。

　とくに「Windows 11 バージョン 22H2」には多くの改善が導入されているが、OSが起動不能になる既知の脆弱性もある。パッチを適用する前に、影響のあるサードパーティ製品のアンインストールをお勧めする。

• Windows 11 バージョン 22H2：KB5023706
• Windows 11 バージョン 21H2：KB5023698
• Windows 10 バージョン 22H2：KB5023696
• Windows 10 バージョン 21H2：KB5023696
• Windows 10 バージョン 20H2：KB5023696
• Windows Server 2022：KB5023705
• Windows Server 2019：KB5023702
• Windows Server 2016：KB5023697

　なお、「Windows 10 バージョン 20H2」Enterprise/Educationのサービス終了が5月9日に予定されている。まだ利用中の場合は、後継バージョンへの移行を早めに計画したい。

Windows Server 2012/2012 R2

　最大深刻度は「緊急」（リモートでコードが実行される）。「セキュリティのみ」と「マンスリー ロールアップ」の2種類が用意されているが、可能な限り「マンスリー ロールアップ」の適用が推奨されているので注意したい。

• Windows Server 2012 R2 マンスリー ロールアップ：KB5023765
• Windows Server 2012 R2 セキュリティのみ：KB5023764
• Windows Server 2012 マンスリー ロールアップ：KB5023756
• Windows Server 2012 セキュリティのみ：KB5023752

　Windows Server 2012/2012 R2のサポートは10月10日まで。有償で拡張セキュリティアップデート（ESU）を購入すれば、2026年10月13日までパッチの提供をうけることができる。

Microsoft Office関連のソフトウェア

　最大深刻度は「重要」（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Microsoft Office security updates - Office release notes
• Microsoft Office の 2023 年 3 月の更新プログラム - Microsoft サポート

　上述の通り、「Outlook」において致命的な脆弱性（CVE-2023-23397）が対処されているので注意したい。すでに悪用も確認されている。

Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間3月13日にリリースされたv111.0.1661.41。

　また、「Webview2」でも1件の脆弱性が修正されている。「Webview2」はアプリがWebコンテンツを表示するために利用する「Edge」コンポーネントだ。

• CVE-2023-24892（重要：なりすまし）

Microsoft Visual Studio

　「Microsoft Visual Studio」では、4件の脆弱性が修正された。「Visual Studio 2022」v17.0/17.2/17.4/17.5、「Visual Studio 2019」v16.11、「Visual Studio 2017」v15.9にセキュリティアップデートが提供されている。

• CVE-2023-22490（重要：情報漏洩）
• CVE-2023-22743（重要：特権の昇格）
• CVE-2023-23618（重要：リモートでコードが実行される）
• CVE-2023-23946（重要：リモートでコードが実行される）

Microsoft SharePoint

　「Microsoft SharePoint」関連では、1件の脆弱性が修正された。

• CVE-2023-23395（重要：なりすまし）

Microsoft Dynamics 365

　「Microsoft Dynamics 365」では、6件の脆弱性が修正された。

• CVE-2023-24879（重要：なりすまし）
• CVE-2023-24891（重要：なりすまし）
• CVE-2023-24919（重要：なりすまし）
• CVE-2023-24920（重要：なりすまし）
• CVE-2023-24921（重要：なりすまし）
• CVE-2023-24922（重要：情報漏洩）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度と件数。

• OneDrive for MacOS Installer：1件（重要：1件）
• OneDrive for iOS：1件（重要：1件）
• OneDrive for Android：2件（重要：2件）
• Microsoft Malware Protection Engine：1件（重要：1件）
• CBL Mariner 2.0 x64：3件（不明：3件）
• CBL Mariner 2.0 ARM：3件（不明：3件）
• Azure Service Fabric 9.1 for Windows：1件（重要：1件）
• Azure Service Fabric 9.1 for Ubuntu：1件（重要：1件）
• Azure HDInsights：1件（重要：1件）