それに応じて ラップトップマグ、 重大と評価された修正のうち 2 件は、サービス拒否 (DoS) インシデントやリモートでのコード実行につながる可能性のある Windows Hyper-V の脆弱性に関連する問題に対処しています。 2 つの深刻な脆弱性は、Microsoft によって CVE-2024-21407 および CVE-2024-21408 として番号付けされています。

さらに、この修正では 58 件の重大な問題と 1 件の低重大度の問題も解決されています。 修正のうち、Chrome ベースの Microsoft Edge ブラウザーの 17 件の脆弱性が修正されました。 これらは、最後の月例パッチ火曜日更新 (2024 年 2 月) 以降に発見された脆弱性に対処することを目的としています。 このリストの脆弱性には、CVE-2024-21400 (CVSS スコア 9)、CVE-2024-26170 (CVSS スコア 7.8)、および CVE-2024-21390 (CVSS スコア 7.1) が含まれます。

脅威アクターはユーザーのネットワーク上にローカルに存在する必要がありますが、被害者が知らずにインストールしたマルウェアや悪意のあるアプリケーションによって簡単に発生する可能性があります。 Microsoft は、この脆弱性を悪用すると、攻撃者が被害者のアカウントの多要素認証コードにアクセスしたり、Authenticator 認証アプリケーションのアカウントを変更または削除したりできる可能性があると主張しています。

Tenable のシニアリサーチエンジニアであるサトナム・ナラン氏は、キーストロークを追跡し、データを盗み、ユーザーを詐欺ウェブサイトにリダイレクトする可能性があるため、ターゲットデバイスにアクセスするだけでも十分に悪質だと述べた。 しかし、事態をさらに危険にしているのは、攻撃者が多要素認証コードにアクセスして盗み、機密アカウントにログインしたり、データを盗んだり、アカウントを完全に乗っ取りたりすることを可能にする新しい脆弱性です。 パスワードを変更し、多要素認証デバイスを置き換えることにより、ユーザーをアカウントからロックアウトします。

注目すべきもう 1 つの脆弱性は、印刷スプーラーの権限昇格 (CVSS スコア 7 の CVE-2024-21433) です。これにより、攻撃者にシステムへのアクセスと権限が付与されます。

全体として、新しい Patch Tuesday アップデートでは多くの問題が修正されるため、Windows ユーザーはすぐにアップデートしてシステムとネットワークが確実に保護されるようにする必要があります。