MS、5月の月例パッチで脆弱性73件に対処 - ゼロデイ脆弱性を修正

共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると、「7.0」以上と評価されている脆弱性が50件。「9.0」以上は3件で「CVE-2022-26937」「CVE-2022-22012」「CVE-2022-29130」のいずれも「9.8」と評価されている。

ただし、重要度の評価は異なる。「ネットワークファイルシステム（NFS）サービス」に対する細工した読み出しによって、リモートよりコードを実行されるおそれがある「CVE-2022-26937」については「クリティカル（Critical）」。

一方、「Windows LDAP」に明らかとなった「CVE-2022-22012」「CVE-2022-29130」については「重要（Important）」とした。

また「Windows LSA」に明らかとなったなりすましの脆弱性「CVE-2022-26925」については、すでに公開されていおり、悪用も確認されている。

脆弱性を悪用されると認証なしに「LSARPC」のインターフェースよりメソッドを呼び出し、NTLMを使用して攻撃者に認証するようドメインコントローラーに強制が可能となる。

重要度は「重要（Important）」でCVSS基本値は「8.1」と評価されているが、「Active Directory Certificate Services（AD CS）」に対する「NTLMリレー攻撃」と組み合わせることでスコアが「9.8」へと上昇するため注意が必要。

（Security NEXT - 2022/05/11 ）ツイート