Microsoft 社は 2016 年 5 月度の Patch Tuesday を発表しました。これは、製品内に潜むセキュリティの脆弱性に対応するための月次セキュリティ報告です。今月のリリースには、33 の脆弱性に対応する 16 の報告が含まれています。8 つの報告が緊急と評価され、Edge、Internet Explorer、Office、Graphic Components、VBScript、Windows Shell の脆弱性に対応しています。その他の報告は重要と評価され、Internet Explorer、Office、Windows カーネル、IIS、Media Center、Hyper-V、.NET、およびその他の複数の Windows コンポーネントに対応しています。
緊急と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-051 ~ MS16-057、MS16-064 の脆弱性が緊急と評価されています。
MS16-051 と MS16-052 は、それぞれ Internet Explorer と Edge に関する今月のセキュリティ報告です。その中の 1 つの脆弱性は IE と Edge に共通するもので、両方に影響があります。IE に関するセキュリティ報告が対応しているのは、緊急と評価されたメモリ破損に関する 3 つの脆弱性と、重要と評価された、情報漏えいに関する脆弱性とセキュリティ機あ能のバイパスに関する脆弱性です。Edge に関しては、メモリ破損に関する 4 つの脆弱性が報告され、それらすべてが緊急と評価されています。Edge と IE の両方で、リモート コード実行の可能性がある脆弱性が複数見つかっています。これらの脆弱性は緊急と評価され、Internet Explorer に関するものは CVE-2016-0187、CVE-2016-0189、CVE-2016-0192 です。Microsoft Edge に関するものは CVE-2016-0186、CVE-2016-0191 ~ CVE-2016-0193 です。IE に関して重要と評価されている CVE は CVE-2016-0188 と CVE-2016-0194 です。
MS16-053 では、緊急と評価された VBScript エンジン(IE7 を実行しているシステム、IE を実行していないシステム向け)における 2 つの脆弱性(CVE-2016-0187 と CVE-2016-0189)に対応しています。エンジンがメモリ内でオブジェクトを処理する方法に、リモート コード実行に関する脆弱性が複数存在しています。攻撃者が悪意のある Web サイトを構築してこの脆弱性を不正利用すると、ユーザがそのサイトにアクセスした際、ユーザのコンテキストでコードが実行される可能性があります。もう 1 つの潜在的な攻撃ベクトルは、悪意のある ActiveX コントロールが組み込まれた Microsoft Office ドキュメントです。Microsoft はセキュリティ アップデートが適用されない状況の回避策を 2 つ提供しています。詳細については、Microsoft のセキュリティ報告を参照してください。
MS16-054 では、Microsoft Office の複数のバージョンで確認された 4 つの脆弱性に対応しています。Microsoft Office の 4 つの脆弱性のうち、3 つはメモリ破損に関する脆弱性で、1 つはリモート コード実行に関する脆弱性でした。攻撃者がこのメモリ破損に関する脆弱性を不正に利用した場合、ユーザのコンテキストで任意のコードが実行される可能性があります。このリモート コード実行の脆弱性は、特別に細工された埋め込みフォントを Windows のフォント ライブラリが不適切に処理した場合に発生します。攻撃者がこの脆弱性の不正利用に成功した場合、システムが操作されてしまう可能性があります。またこのアップデートには、セキュリティ関連の新たな変更が含まれています。詳細については、セキュリティ報告を参照してください。脆弱性の詳細は CVE-2016-0126、CVE-2016-0140、CVE-2016-0183、CVE-2016-0198 で確認できます。CVE-2016-0183 と CVE-2016-0198 は緊急と評価され、その他の脆弱性は重要と評価されています。
MS16-055 は、Microsoft Windows の Graphics コンポーネントで見つかった脆弱性に関連しています。最も深刻な脆弱性では、特別に細工されたドキュメントや Web サイトをユーザが開いたりアクセスしたりすると、リモート コードが実行される可能があります。この報告では、リモート コード実行(RCE)に関する 3 つの脆弱性が緊急と評価されています。RCE に関する脆弱性は CVE-2016-0170、CVE-2016-0184、CVE-2016-0195 で説明されています。CVE-2016-0184 は Direct3D コンポーネントの解放済みメモリ使用のバグであり、実際にすでに不正利用されているため、特に重要です。また、この報告では CVE-2016-0168 と CVE-2016-0169 の 2 つが情報漏えいの脆弱性と分類され、重要と評価されています。
MS16-056 では、Windows Journal のファイル パーサーで見つかったメモリ破損の脆弱性(CVE-2016-0182)に対応しています。この脆弱性はリモート コード実行を引き起こす可能性があり、緊急と評価されています。攻撃者が特別に細工された Journal のファイルを作成してこの脆弱性を不正利用した場合、ユーザのコンテキストで任意のコードが実行される可能性があります。Microsoft はセキュリティ アップデートが適用されなかった場合の回避策を提供しています。詳細については、セキュリティ報告を参照してください。
MS16-057 では、Microsoft Windows Shell のリモート コード実行に関する脆弱性(CVE-2016-0179)に対応しています。攻撃者がこの脆弱性の不正利用に成功した場合、任意のコードが実行され、システムが操作されてしまう可能性があります。攻撃者は悪意のある Web サイトを構築し、この脆弱性を利用してユーザを攻撃します。この脆弱性は Windows 8.1 と Windows 10 を含む複数の Windows オペレーティング システム(32 ビット/64 ビット アーキテクチャの両方)に影響します。
MS16-064 は、Windows の Adobe Flash Player のセキュリティに関する報告であり、Flash Player のセキュリティの脆弱性に対応しています。この脆弱性はすでに対応済みであり、追加の詳細情報は Adobe Product Security ポータルの Adobe セキュリティ情報 APSB16-15 で確認できます。
重要と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-051、MS16-054、MS16-058 ~ MS16-063 が重要と評価されています。
MS16-058 では、Microsoft Internet Information Server(IIS)のリモート コード実行に関する脆弱性(CVE-2016-0152)に対応しています。この脆弱性を不正利用するには、攻撃者はまずローカル システムにアクセスし、悪意のあるアプリケーションを実行する必要があります。この脆弱性の原因は、Windows が特定のライブラリを読み込む際の入力の検証方法にあります。
MS16-059 は、Microsoft Media Center のリモート コード実行に関する脆弱性(CVE-2016-0185)に対応しています。Windows Media Center のこの脆弱性により、悪意のあるコードを参照する、特別に細工された Media Center リンク(.mcl)ファイルを Windows Media Center で開いた場合に、リモート コードが実行される可能性があります。
MS16-060 と MS16-062 では、Windows カーネルとそのドライバの特権の昇格に関する脆弱性に対応しています。関連する CVE の詳細は、CVE-2016-0180、CVE-2016-0171、CVE-2016-0173、CVE-2016-0174 と CVE-2016-0176、CVE-2016-0196、および CVE-2016-0197 で確認できます。より深刻な脆弱性においては、攻撃者が脆弱性の不正利用に成功した場合、カーネル モードで任意のコードが実行される可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除などを行ったり、すべてのユーザ権限を持つ新たなアカウントを作成したりする可能性があります。MS16-062 には、情報漏えいの脆弱性(CVE-2016-0175)も含まれます。この脆弱性により、攻撃者は機密情報を取得できるようになります。取得された機密情報は、Kernel Address Space Layout Randomization(KASLR)などのセキュリティ機能のバイパスに利用される可能性があります。MS16-060 と MS16-062 は Windows 10 x64 までのほとんどの Windows オペレーティング システムに影響があります。
MS16-061 では、RPC Network Data Representation Engine の特権の昇格に関する脆弱性に対応しています。この脆弱性は、Microsoft Windows が特別に細工されたリモート プロシージャ コール(RPC)要求を処理する方法に存在します。攻撃者がこの脆弱性の不正利用に成功した場合、任意のコードが実行され、システムが操作されてしまう可能性があります。対応する CVE は CVE-2016-0178 です。MS16-061 は Windows 10 x64 までのほとんどの Windows オペレーティング システムに影響します。
MS16-065 も、情報漏えいに関する脆弱性(CVE-2016-0149)に対応しますが、影響を受ける対象は Microsoft .NET Framework です。この情報漏えいに関する脆弱性は、Microsoft .NET Framework の暗号化コンポーネントに実装されている TLS/SSL プロトコルに存在します。攻撃者がこの脆弱性の不正利用に成功した場合、暗号化された SSL/TLS トラフィックが複合される可能性があります。
MS16-066 はセキュリティ機能のバイパスに関する脆弱性(CVE-2016-0181)について説明しています。この脆弱性は MS Windows の Device Guard テクノロジーの一部である、仮想保護モードのハイパーバイザによるコードの整合性の保護機能に関係しています。この脆弱性は、ハイパーバイザによるコードの整合性(HVCI)が有効であっても、特定のカーネルモード ページが、Windows によって不適切に、読み取り、書き込み、実行可能(RWX)としてマークされる場合に発生します。この機能は、カーネル メモリ ページが同時に書き込み可能かつ実行可能(W+X)にならないようにする必要があります。
MS16-067 は、Microsoft の Remote Desktop Protocol のドライブ リダイレクトにおける情報漏えいに関する脆弱性(CVE-2016-0190)に対応しています。この脆弱性は、Remote Desktop Protocol(RDP)を利用して Microsoft RemoteFX 機能でマウントされた USB ディスクが、マウント側ユーザのセッションに正しく関連付けられていない場合に発生します。攻撃者がこの脆弱性の不正利用に成功した場合、マウント側ユーザの USB ディスク上のファイルとディレクトリの情報にアクセスされる可能性があります。
カバレッジ
Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:
- Microsoft のセキュリティ報告のルール:38759 ~ 38766、38768 ~ 38783、
38785 ~ 38788、38797 ~ 38798、38801 ~ 38806、38808 ~ 38817、
38828 ~ 38829、38839 ~ 38842 - Adobe 報告関連:
38792、38793、38824 ~ 38827、38830 ~ 38833、38835 ~ 38838、38847 ~ 38848
本稿は 2016年5月10日に Talos Group のブログに投稿された「MICROSOFT PATCH TUESDAY – MAY 2016」の抄訳です。