この記事は、Edmund Brumaghin、Jonah Samost が執筆しました
本日、Microsoft 社は 2016 年 8 月度の Patch Tuesday を発表し、製品内のセキュリティの脆弱性に対応するため、セキュリティ報告と、それらに関連するパッチをリリースしました。今月のリリースには、28 の脆弱性に対応する 9 つの報告が含まれています。5 つの報告が緊急と評価され、Internet Explorer、Edge、Windows Graphics コンポーネント、Microsoft Office、Windows PDF ライブラリの脆弱性に対応しています。その他 4 つの報告は重要と評価され、Windows カーネルモード ドライバ、セキュア ブート、Windows 認証方式、ActiveSyncProvider の脆弱性に対応しています。
緊急と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-095、MS16-096、MS16-097、MS16-099、MS16-102 が、重要と評価されています。
MS16-095 と MS16-096は、それぞれ Internet Explorer と Edge に関する今月のセキュリティ報告です。Internet Explorer に関する報告は合計 9 個あり、5 つのメモリ破損に関するバグ、4 つの情報漏えいの脆弱性に対応しています。Edge に関する報告は合計 8 個あり、1 つのリモート コード実行の脆弱性、4 つのメモリ破損に関するバグ、3 つ情報漏えいの脆弱性に対応しています。Internet Explorer に関する報告は、影響を受ける対象が Windows クライアントの場合は緊急と評価され、Windows Server の場合は、警告となっています。
MS16-097は、Windows Graphics コンポーネントに関する 3 つのリモート コード実行の脆弱性(CVE-2016-3301、CVE-2016-3303、CVE-2016-3304)に対応しています。これらの脆弱性は、コンポーネントのフォント操作に関連し、攻撃者に悪用されると、影響を受けるシステムのコードを実行できる可能性があります。この脆弱性は Microsoft Windows のすべてのサポート対象バージョンに影響します。また、Microsoft Office、Microsoft Lync、Skype for Business のいくつかのバージョンにも影響します。
MS16-099 は、合計 4 個の脆弱性に対応しており、1 つは情報漏えいの脆弱性、3 つはメモリ破損の脆弱性で、Microsoft Office のさまざまなバージョンに影響します。メモリ破損の脆弱性を悪用する巧妙に作られた Office ドキュメントをユーザが開くと、攻撃者にコードの実行権が付与されます。このアップデートで、CVE-2016-3313、CVE-2016-3316、CVE-2016-3317、CVE-2016-3318 が解決されています。
MS16-102 は、Microsoft Windows PDF ライブラリに関する脆弱性(CVE-2016-3319)に対応しています。この脆弱性が悪用されると、影響を受けるシステムで、巧妙につくられた PDF ドキュメントをユーザが開くと、攻撃者にコードの実行権が付与されます。Microsoft Edge がデフォルト ブラウザとして設定されている Windows 10 システムでは、巧妙に作られた PDF ドキュメントをブラウザで閲覧するだけでこの脆弱性がトリガーされます。これは、Edge が自動的にファイルの内容をレンダリングするためです。この脆弱性は、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows 10 のすべてのサポート対象バージョンに対して緊急と評価されています。
重要と評価された報告
今月の Microsoft のセキュリティ報告では、MS16-098、MS16-100、MS16-101、MS16-103 が、重要と評価されています。
MS16-098 では、Windows Server 2012 R2 上の Windows Vista で発生する恐れのあるローカル権限昇格の脆弱性が複数解決されています。これらの脆弱性は、特定の Windows カーネルモード ドライバがメモリ内のオブジェクトを適切に処理できなかった場合に発生します。悪用された場合、攻撃者がカーネル モードの任意のコードを実行する可能性があります。Microsoft は、これらの脆弱性に対して、4 つの CVE(CVE-2016-3308 ~ CVE-2016-3311)を割り当てました。
MS16-100 は、デバイスに対して物理アクセスあるいは管理者権限のいずれかを持つ攻撃者によって悪用されかねないセキュア ブートのバイパスに関する脆弱性に対応しています。この脆弱性は Windows Secure Boot によってブート マネージャが不適切にロードされると発生します。脆弱性の不正利用に成功すると、Bitlocker のセキュア ブートの整合性検証がバイパスされたり、整合性の無効化によりテスト署名済みのドライバや実行ファイルがロードされたりします。Windows 8.1 から Windows 10 のすべてのサポート対象バージョンに影響します。この脆弱性は CVE-2016-3320 に分類されています。
MS16-101 は、2 つの権限昇格の脆弱性に対応しています。CVE-2016-3300 は Windows Netlogon が、Windows Server 2012 または Windows Server R2 を実行するドメイン コントローラを持つシステムにセキュアな接続を確立する方法に関係しています。攻撃者は、この脆弱性を不正利用し、ドメイン参加済みのマシンにおいて権限昇格を実行するには、これらのシステムによって管理されたドメイン参加済みのマシンへのアクセスを必要とします。CVE-2016-3237は、パスワード変更要求が不適切に処理された後、デフォルトの認証プロトコルが Kerberos から NTLM に戻ることに関連しています。この脆弱性を不正利用し Kerberos 認証機能をバイパスするために攻撃者は、ターゲット マシンとそのドメイン コントローラ間のトラフィックに対して中間者攻撃を開始する必要があります。Kerberos の権限昇格に関しては、Windows のすべてのサポート対象バージョンに影響します。一方、Netlogon の脆弱性に関しては、Windows 8.1 と Server 2012 のすべてのバージョンにのみ影響します。
MS16-103 は、サービスがセキュアな接続の確立に失敗した際のユニバーサル Outlook における情報漏えいの脆弱性に対応します。この漏えいにより、攻撃者はユーザのユーザ名とパスワードを入手できる可能性があります。この脆弱性は Windows 10 のすべてのバージョンに影響し、CVE-2016-3312 に分類されています。
カバレッジ
Talos はこれらの報告の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Defence Center、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:
39808-39829、39831-39844
本稿は 2016年8月9日に Talos Group のブログに投稿された「Microsoft Patch Tuesday – August 2016」の抄訳です。