執筆者:Warren Mercer
Microsoft 社は 2016 年 6 月度の Patch Tuesday を発表しました。これは、製品内に潜むセキュリティの脆弱性に対応するための月次セキュリティ報告です。今月のリリースには、44 の脆弱性に対応する 16 の報告が含まれています。5 つの報告が緊急と評価され、MS DNS Server、Edge、Internet Explorer、JScript/VBScript、Office の脆弱性に対応しています。その他の報告は重要と評価され、Active Directory、Exchange Server、グループ ポリシー、SMB Server、Netlogon、Windows Graphics コンポーネント、Windows カーネルモード ドライバ、Windows PDF、Windows Search Component、WPAD の脆弱性に対応しています。
緊急と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-063、MS16-068 ~ MS16-071 の脆弱性が緊急と評価されています。
MS16-063 と MS16-068 はそれぞれ Microsoft Internet Explorer と Edge ブラウザに関する今月のセキュリティ報告です。IE に関するセキュリティ報告では、Internet Explorer のバージョン 9、10、11 に関する脆弱性が報告されています。IE に関するセキュリティ報告は合計 10 個あり、8 つのメモリ破損に関するバグ(うち 7 つは緊急と評価)、XSS フィルタに関する脆弱性、WPAD に関する脆弱性に対応しています。Edge に関するセキュリティ報告では、8 つの脆弱性に対応しています。4 つのメモリ破損のバグ、2 つの情報漏洩、セキュリティ機能のバイパスと PDF のリモート コード実行の脆弱性です。
MS16-069 では、Windows のスクリプト エンジンである JScript および VBScript 内における任意のコード実行に関する 6 つの脆弱性に対応しています。この報告の対象は、Windows Vista、Windows Server 2008、Windows Server 2008 R2 です。お使いの Windows のバージョンがこれよりも新しい場合には、本報告は表示されません。任意のコードの実行に関する脆弱性が複数存在しており、これはエンジンが IE のメモリ内でオブジェクトを処理する方法によるものです。これらの脆弱性は、例えば攻撃者が悪意のある Web サイトを作成し、ログイン済みのユーザの背景でコード実行を行うことなどによって悪用が可能になります。もう 1 つの攻撃の標的は、悪意のある ActiveX コントロールが組み込まれた Microsoft Office ドキュメントです。Microsoft は、セキュリティ アップデートが適用されない状況に対する回避策を 2 つ提供しています。詳細については、Microsoft のセキュリティ報告を参照してください。
MS16-070 では、Microsoft Office に関する 4 つの脆弱性に対応しています。3 つの任意のコードの実行に関する脆弱性および 1 つの情報漏洩に関する脆弱性が、今月のセキュリティ報告において対応されました。3 つのコード実行に関する脆弱性のうち、2 つはメモリ破損(CVE-2016-0025、CVE-2016-3233)によるもので、もう 1 つは OLE DLL 側の読み込み(CVE-2016-3235)によるものです。これらの侵害は、特別に工作された電子メールの添付ファイルをユーザが開くよう仕向けるもので、その結果、攻撃者はログイン済みのユーザの背景で任意のコードを実行することが可能になります。
MS16-071 では、Microsoft の DNS サーバ内における Use After Free に関する脆弱性(CVE-2016-3227)に対応しています。この脆弱性に対する侵害では、攻撃者は サーバに悪意のある要求を行うために、特別に工作されたアプリケーションを作成して Windows DNS サーバに接続し、ローカルの SYSTEM アカウント内で任意のコードを実行します。
重要と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-072 ~ MS16-082 が重要であると評価されています。
MS16-072 では、CVE-2016-3223 グループ ポリシー内における権限のエスカレーションに関する脆弱性に対応しています。この脆弱性は、Windows によるグループ ポリシーの更新に際して露見します。攻撃が実行されるためには、ドメイン コントローラとターゲット マシン間での中間者攻撃(MiTM)が行われる必要があります。その後、ユーザ アカウントは特権レベルの管理アカウントへエスカレーションされる恐れがあります。
MS16-073 では、Win32k カーネル ドライバ内における権限のエスカレーションに関するバグである CVE-2016-3218 および CVE-2016-3221 に対応しています。これらの脆弱性に対する侵害では、攻撃者はカーネル モードで任意のコードを実行する恐れがあります。脆弱性は、メモリ内のオブジェクトの不適切な処理によって露見します。情報漏洩に関する脆弱性(CVE-2016-3232)にも対応していますが、対応 OS は Windows Server 2012 のみです。この脆弱性は、Windows Virtual PCI および Virtual Service Provider において、初期化されていないメモリが正しく処理されない状況で発生します。これにより、メモリ内の特定の情報が攻撃者に漏洩する恐れがあります。
MS16-074 では、Microsoft Graphics Component における権限昇格に関する 2 つの脆弱性および情報漏洩に関する脆弱性に対応しています。CVE-2016-3216 は Windows Graphic Device Interface(GDI32.dll) でメモリ内のオブジェクトが不適切に処理されることに起因する、情報漏洩に関する脆弱性です。この脆弱性は ASLR バイパスをもたらす恐れがあり、これがさらに別の脆弱性と合わせて使用されることで任意のコード実行に繋がる恐れがあります。権限昇格に関する脆弱性はどちらも、メモリの不適切な処理とともに CVE-2016-3219 が Windows Graphic Component に対して、また CVE-2016-3220 が Adobe Type Manager Font Driver (ATMFD)に対して影響することによるものです。侵害が成功すると、攻撃者は管理者として任意のコマンドを実行することが可能になります。
MS16-075 では、Microsoft Server Message Blockプロトコル内の任意のコードの実行に関する障害である CVE-2016-3225 に対応しています。この脆弱性を悪用して、認証された攻撃者が別のサービス向けの認証要求を転送し、高い許可レベルをもって任意のコードの実行を許可することができます。Microsoft は、この攻撃を行うには攻撃者があらかじめ攻撃対象のマシンにログインしている必要があると詳述しています。
MS16-076 では、NetLogon内の脆弱性である CVE-2016-3228 に対応しています。これは、オブジェクトの不適切な処理によるメモリ破損に起因するものです。この脆弱性によって、攻撃者は組織の Primary Domain Controller(PDC)にアクセスし、特別に工作されたアプリケーションを実行してリモートでのコード実行を行い、PDC を複製ドメイン コントローラとして確保する恐れがあります。
MS16-077 には、Windows Proxy Autodiscovery(WPAD)において権限のエスカレーションに関する、2 つの脆弱性に対する修正が含まれています。この更新では、Windows によるプロキシ検出の扱いについて取り上げています。CVE-2016-3213 は、Windows が脆弱性を含むプロキシの検出プロセスに戻るタイミングを指定しています。攻撃者は、DNS サーバを汚染して独自のホストを ローカル DNS 内に WPAD として登録する、もしくは WPAD に対する NetBIOS 名の要求に答えることが要求されます。CVE-2016-3236 は特定のプロキシ検出シナリオにおいて権限のエスカレーションを許可する問題で、攻撃者はネットワーク トラフィックへのアクセスおよびコントロールを行う恐れがあります。
MS16-078 では、Windows Diagnostic Hub における権限のエスカレーションに関する問題である CVE-2016-3231 に対応しています。この脆弱性を悪用して、攻撃者は Standard Collector Service による入力の削除における不具合によって高い権限を取得でき、これは安全性の低いライブラリ ローディングにつながります。これにより、攻撃者は高レベルの権限をもって任意のコードを実行することが可能になります。
MS16-079 では、Microsoft Exchange Server における脆弱性である CVE-2016-0028 に対応しています。この脆弱性では、Outlook Web Access(OWA )が HTMLメッセージを正しく処理できないことによる情報漏洩の可能性があります。攻撃者は、OWA 内で警告やフィルタリングなくロードされるよう特別に作成された 電子メール画像 URL を使用してエンドユーザに関する情報を取得し、ユーザの特定や追跡が可能になります。
MS16-080 では、Microsoft PDF における複数の脆弱性に対応しています。CVE-2016-201 および CVE-2016-3215 は両者とも情報漏洩に関する問題で、特別に作成された PDF ファイルを使用して、それを利用するユーザに関する情報が読み取られる恐れがあります。CVE-2016-3203 はリモート コード実行における問題で、ユーザが悪意のある PDF ファイルを開くよう促すことで悪用される恐れがあります。この報告は、PDF ファイルが Windows 内で解析される方法を修正することによる問題の解決を目的としています。
MS16-081 では、Microsoft Active Directory 内における DoS に関する脆弱性が修正されています。この脆弱性は、複数のマシン アカウントの作成によって AD の応答に障害が生じるというものです。この脆弱性を悪用して、認証されたアカウントを使用して AD 環境内の複数のマシン アカウントを作成することが可能です。CVE-2016-3226 は、AD 内でマシン アカウントが作成される方法を修正することで対応しています。
MS16-082 では、CVE-2016-3230のMicrosoft Windows StructuredQuery のコンポーネント内の DoS 脆弱性に対応しています。この脆弱性は StructuredQuery コンポーネントの障害によりメモリのオブジェクトの処理が正常に行われない結果明らかになります。攻撃者はこの脆弱性を悪用し、サーバのパフォーマンスを低下させ、DoS を引き起こすことができます。
カバレッジ
Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。
今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:
- Microsoft のセキュリティ報告のルール:5512-X, 39227, 5512-X, 39193-39196, 5512-X, 39199-39208, 5512-X, 39211-39226, 5512-X, 39228-39239, 5512-X, 39242-39261, 5512-X, 39266-39267
本稿は 2016年6月14日に Talos Group のブログに投稿された「MICROSOFT PATCH TUESDAY – JUNE 2016」の抄訳です。