スキップされるCVE-2022-21882

CVE-2022-21882は特権昇格を許してしまう脆弱性です。
Windows10、Windows11、Windows Server 2019、Windows Server 2022の各種バージョンが対象です。
CVE-2022-21882はすでに修正パッチが配布済みの脆弱性です。
この脆弱性の修正パッチは、2022年の1月のMicrosoft Patch Tuesdayに含まれています。
そして、この脆弱性を悪用するエクスプロイトの実装がセキュリティ研究者によって公開されています。

通常、公開済みパッチの存在する脆弱性の概念実証コードは、その存在価値は大きくない場合が多いと考えられます。
しかし、このCVE-2022-21882向けのものは、すこし状況が違うところがありました。

Microsoft Patch Tuesdayは、パッチの詰め合わせです。
いろいろな問題が対応されます。
多くの重要な問題に対応できるということで、多くの環境ですぐに適用されるMicrosoft Patch Tuesdayもあります。
一方、Microsoft Patch Tuesdayを適用することで、問題の修正と一緒に新たなバグを生み出してしまうケースもあります。
このため、Microsoft Patch Tuesdayはその回によってあまりタイムリーに適用されないことがあります。
2022年1月のMicrosoft Patch Tuesdayも、そのような面がありました。

すべての環境がそうであったということではないのですが、再起動してしまう、L2TP VPNの問題、アクセスできないReFSボリューム、Hyper-Vの問題、などの事象が発生することがあり、2022年1月のMicrosoft Patch Tuesdayを適用していない環境があるようなのです。

機能バグであれば適用を遅らせる選択も場合によっては有効かもしれませんが、脆弱性対策のパッチの適用を遅らせる選択は非常に危険です。
2022年1月のMicrosoft Patch Tuesdayを適用していない環境の管理者さんは2月のMicrosoft Patch Tuesdayを待って適用することを考えているケースもあるかもしれません。
Microsoft Patch Tuesdayのパッチセットの全体を適用することまでは難しいかもしれませんが、脆弱性対策のパッチだけでも2月のMicrosoft Patch Tuesdayを待つことなく適用することが良いかもしれません。

参考記事（外部リンク）：Windows vulnerability with new public exploits lets you become admin
www.bleepingcomputer.com/news/microsoft/windows-vulnerability-with-new-public-exploits-lets-you-become-admin/