CVE-2022-23278 Microsoft Defender for Endpointのなりますましの脆弱性に関するガイダンス

本ブログは、Guidance for CVE-2022-23278 spoofing in Microsoft Defender for Endpoint の抄訳版です。最新の情報は原文を参照してください。

マイクロソフトは、Microsoft Defender for Endpoint のCVE-2022-23278に対応するセキュリティ 更新プログラムを公開しました。この、重要のクラスのなりますましの脆弱性は、すべてのプラットフォームに影響します。私たちと協力して脆弱性を公開し、この問題に対処した Falcon Force に感謝いたします。

サイバー犯罪者は、セキュリティ保護を改ざんするあらゆる機会を狙って、顧客の防御を見えなくし、混乱させ、遮断しています。マイクロソフトは、独自の研究とセキュリティコミュニティとの協力により、お客様が環境を保護し、攻撃発生時に可視化できるように、これらの手法を打ち負かす努力を続けています。3 月にリリースしたセキュリティ更新プログラムでは、攻撃者がクライアントとサービス間の情報をなりすます能力に対処することで、Microsoft Defender for Endpoint の堅牢性をさらに高めています。この脆弱性はすべてのプラットフォームに影響するため、私たちがリリースした更新プログラムを、他のセキュリティ更新プログラムと同様に適用してください。Windows の場合、更新プログラムは 3 月の累積更新プログラムに含まれるため、自動更新が有効な場合には、対処を実施する必要はありません。自動更新が無効な場合は、有効にすることをお勧めします。最新の OS をご利用のお客様は、OS の新機能により、強力な保護が可能になります。一般的な導入方法は以下の通りです。

マイクロソフトは、公開時点では、この脆弱性を悪用した攻撃は確認されていません。マイクロソフトは、セキュリティ更新プログラムに加えて、悪意のある操作の検出をリリースしました。お客様は、これらの検出 (以下のリスト) を監視し、リスクや悪意のあるアクティブティの可能性を示す 脅威分析レポート (ライセンスとアクセス権が必要になります)を参照してください。
・不審なクライアント通信 - デバイスのなりすましやデバイスの誤設定によって発生する疑わしいクライアント通信を検出します。

お客様は、できるだけ早く 3 月のセキュリティ更新プログラムを適用することを推奨します。
セキュリティ更新プログラムに関する公式ドキュメントは以下を参照してください。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23278
2022 年 3 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center