2016 年 4 月度の Patch Tuesday が発表されました。Microsoft 社は、製品内のセキュリティの脆弱性に対応するための、月次セキュリティ報告をリリースしました。今月のリリースには、31 の脆弱性に関連する 13 の報告が含まれています。6 つの報告が緊急と評価され、Edge、Graphic Components、Internet Explorer、XML Core Service、Microsoft Office、Adobe Flash Player の脆弱性に対応しています。その他の 7 つの報告が重要と評価され、Hyper-V、Microsoft Office、その他の Windows コンポーネントの脆弱性に対応しています。
緊急と評価された報告
今月のセキュリティ報告では、MS16-037 ~ MS16-040、MS16-042、MS16-050 が緊急であると評価されています。
MS16-037 は Internet Explorer の 6 つの脆弱性に関連しています。最も深刻な脆弱性では、ブラウザのメモリ破損の脆弱性により、攻撃者が巧妙に細工した Web サイトを通じて、被害者のデバイス上で任意のコードが実行されます。攻撃者は、現在のユーザと同じ管理者権限がないとコードを実行できませんが、多くのユーザが管理者権限をフルにもっているため、攻撃者はこの脆弱性を利用して、デバイスを完全に制御できる可能性があります。この脆弱性を不正利用するには、攻撃者が制御するコンテンツを被害者に表示させる必要があります。このことは、攻撃者にとって大きな制約であると思われてきましたが、実証されていませんでした。今では、攻撃者が、スパム メッセージの送信、正当な Web サイトの侵害、Web アドバタイジング ネットワークの悪用に精通し、悪意のある Web サイトにユーザをリダイレクトできることが判明しています。
MS16-038 は、Microsoft の Edge ブラウザで新たに判明した 5 つのリモート コード実行の脆弱性に対応しています。また、IE と Edge に共通する 1 つの脆弱性にも対応しており、これについては MS16-037 でも記載されています。これらの脆弱性の中で最も深刻なものでは、メモリ破損の脆弱性により、被害者のデバイスで任意のコードが実行されます。前述のように、攻撃者は悪意のある Web サイトを巧妙に作成し、被害者のデバイスで脆弱性を不正利用します。
MS16-039 は、Windows カーネル モード ドライバの権限昇格に関する 3 つの重要な脆弱性に対応しています。また、リモート コードの実行を可能とする Windows フォント ライブラリに関する緊急の脆弱性 CVE-2016-0145 にも対応しています。埋め込みフォントの脆弱性は以前にも発見され、パッチが提供されています。特にリモート コードの脆弱性は、2015 年 7 月の定例外アップデート MS15-078 で公開されています。また、フォントの脆弱性は、2013 年 7 月から MS13-053 と MS13-054 で対応されています。埋め込みフォントは、悪意のある Web サイトおよび Microsoft Office ドキュメントのどちらにも含めることができるため、埋め込みフォントを不正利用することは、攻撃者にとって特に有効な手法です。
さらに、MS16-040 と MS16-042 でも、リモート コード実行の脆弱性に対応しています。XML Core Services には、特別に細工された XML コードが使用された場合、任意のコードを実行される脆弱性があり、MS16-040 で対応されています。Microsoft Office には、リモート コード実行に関する 4 つの異なる脆弱性があり、MS16-042 で対応されています。この中で CVE-2016-0127 だけが、重要より深刻な緊急と評価とされ、プレビュー ウィンドウで不正利用される恐れがあるものです。
MS16-050 は、Adobe のセキュリティ報告 APSB16-10 に対する Microsoft 側の対応として出されたものです。Windows 8.1、Windows Server 2012、Windows 10 の複数のバージョンの Adobe Flash Player における 10 件の異なる脆弱性に対応しています。これらの脆弱性の内の 1 つが、現在も Magnitude Exploit Kit で不正利用されています。有用な情報として、レジストリの修正、もしくは Group Policy の適用により Flash Player を無効にする方法が報告に記載されています。管理者は、これらの方法を使って担当するデバイスから Flash Player を削除する場合、そのリスクとメリットについて慎重に検討する必要があります。
重要と評価された報告
Microsoft のセキュリティ報告 MS16-041 と MS16-044 ~ MS16-049 は、重要と評価されています。
MS16-041 は、Microsoft .NET Framework の脆弱性 CVE-2016-0148 に対応しています。いくつかの Microsoft オペレーティング システムでは、この脆弱性がリモート コードの実行に使われる可能性があります。ただし、実行できるのは、攻撃者が事前にローカル システムへアクセスしている場合だけです。また、いくつかの環境では、この脆弱性が DoS 攻撃の実行に使われる可能性があります。なお、該当の Microsoft オペレーティング システム以外は、この脆弱性による影響を受けません。
MS16-044 は、Microsoft OLE に含まれるリモート コード実行の脆弱性 CVE-2016-0153 に対応しています。Windows 10 はこの脆弱性による影響を受けません。
MS16-045 は Hyper-V の 3 つの脆弱性に対応しています。CVE-2016-0088 は、ゲスト オペレーティング システム上のユーザが、Hyper-V のホスト上で任意のコードを実行できるという脆弱性です。残り 2 つの脆弱性は、ゲスト オペレーティング システム上のユーザが、Hyper-V のオペレーティング システムからメモリ情報を読み込むことができるというものです。
MS16-046 は Windows 10 に含まれる脆弱性に対応しています。この脆弱性は、認証済みのユーザの権限を昇格させ、管理者として任意のコードを実行できるようにするものです。MS16-048 は、Client-Server Run-time Subsystem のメモリ内におけるプロセス トークンの管理に関する脆弱性に対応しています。この脆弱性により、認証済みのユーザがセキュリティ機能をバイパスし、管理者としてコードを実行することが可能です。
MS16-047 は、潜在的な脆弱性の不正利用に対応しています。攻撃者が、認証済みのユーザになりすますために、中間者攻撃を仕掛け、RPC チャネルの認証をダウングレードする可能性があります。Security Account Manager や Local Security Authority Domain Policy リモート プロトコルの脆弱性を不正利用して、攻撃者が Security Account Manager データベースにアクセスする可能性があります。
MS16-049 は、Windows 10 の HTTP 2.0 プロトコル スタック(HTTP.sys)における、DoS 攻撃に対応しています。攻撃者は特別に細工した HTTP 2.0 のリクエストを生成し、脆弱性を含んだシステムを応答不能にする可能性があります。
カバレッジ
Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール
- Microsoft 関連のルール:38458 ~ 38464、38469 ~ 38470、38473 ~ 38474、38479 ~ 38484、38489 ~ 38490、38495 ~ 38496、38503 ~ 38506
- Adobe 報告関連:38401 ~ 38402、38413 ~ 38416、38425 ~ 38428
本稿は 2016年4月12日に Talos Group のブログに投稿された「MICROSOFT PATCH TUESDAY – APRIL 2016」 の抄訳です。