Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft Patch Tuesday – 2016 年 11 月


2016年11月16日

Microsoft は本日、製品内のセキュリティの脆弱性に対応するための、月次セキュリティ報告をリリースしました。次に示す各カテゴリの詳細については、https://technet.microsoft.com/en-us/security/gg309177.aspxpopup_icon にアクセスしてください。

今月のリリースpopup_icon には重要な情報が満載です。しかも、複数の脆弱性に対応する 14 種類もの報告があるので、すぐに確認することをお勧めします。

緊急の報告は、以下の脆弱性に対応しています。

  • Adobe Flash Player
  • Edge
  • Graphics コンポーネント
  • Internet Explorer
  • ビデオ コントロール
  • Windows

 

その他の報告は重要または警告と評価され、以下の製品における脆弱性に対応します。

  • ブート マネージャ*
  • 共通ログ ファイル システム ドライバ*
  • Edge*+
  • Graphics コンポーネント*
  • Internet Explorer*+
  • カーネルモード ドライバ*
  • Office*
  • 仮想ハード ドライブ*
  • SQL Server*+
  • Windows/Windows 認証方法/Windows カーネル*

* 1 つ以上の重要の報告で対応
+ 1 つ以上の警告の報告で対応

緊急と評価された報告

今月の Microsoft のセキュリティ報告では、MS16-129 ~ MS16-132、MS16-141(Adobe)および MS16-142 は 14 件の CVE に対応し、緊急と評価されているパッチを含んでいます。

Microsoft Edge(Windows 10)向けの MS16-129 には合計 17 件の CVE が含まれ、リモート コード実行(RCE)の複数の脆弱性に対応しています。

これらの脆弱性は、攻撃者が制御する悪意のあるサイト、またはユーザが提供したコンテンツまたは広告を受理またはホストする侵害された Web サイトを閲覧しただけで、不正利用されてしまいます。MS16-142 での IE の脆弱性と同様に、悪意のある攻撃者はユーザに何かを強制することはできませんが、ユーザをサイトに誘導して、特別に細工された URL をクリックさせるように仕向けます。これらの脆弱性によって生じるリスクの中には、攻撃者に次の行動を許してしまうものもあります。

  • 別のドメインからブラウザ ウィンドウの状態を取得する
  • 特定の Web ページから機密情報を取得する
  • 現在のユーザと同じユーザ権限を取得する
  • ユーザの My Documents フォルダにアクセスする
  • コンテンツをスプーフィングしたり、Web サービスのその他の脆弱性を使って攻撃チェーンのピボットとして利用する

 

MS16-130(CVE-2016-7212)は、複数のプラットフォームに対する緊急の脆弱性に対応し、Windows クライアント 10、8.1、7、Vista、および Windows Server 2016、2012、2012R2、2008、2008R2 に対応します。一覧にないプラットフォームは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。脆弱性(CVE-2016-7212)が不正利用されると、ユーザに電子メールから悪意のある画像ファイルを開いたり読み込ませたり、悪意のある Web サイトで表示させるように仕向けます。

Microsoft Windows Vista、7、8.1/RT 8.1 および Windows 10 の Microsoft ビデオ コントロール用 MS16-131(CVE-2016-7248)。この重大度の理由は、不正利用に成功すると、攻撃者は、現在ログインしているユーザの特権レベルで、コードをリモートで実行できることにあります。特別に細工されたファイルか、Web ページや電子メール メッセージからプログラムをユーザに開かせることができれば、攻撃者はエクスプロイトの実行に成功します。

MS16-132(CVE-2016-7205)は、Windows 7、8.1、10 および Server 2008 R2、2012、2012 R2 における Microsoft Graphics コンポーネント アニメーション機能の問題に対処します。不正利用によって攻撃者は、プログラムのインストール、データの表示、変更、削除などを行ったり、すべてのユーザ権限を持つ新たなアカウントを作成したりする可能性があります。アニメーション グラフィックを使用した悪意のある Web サイトを閲覧しただけで、不正利用されてしまいます。

MS16-141 は、最近 Adobe Flash Player で検出されたゼロデイ攻撃に対する Adobe のリリースと一緒に公開されました。Adobe はセキュリティ報告 APSB16-37 を公開し、CVE-2016-7857 ~ CVE-2016-7865 を対象としています。

CVE-2016-7196、CVE-2016-7198、CVE-2016-7241 に対する Internet Explorer 用の MS16-142。使用するプラットフォームによってこの脆弱性の重大度は異なります。IE9 および 11 を搭載した Windows クライアントの場合、緊急と評価されます。IE9、10、11 を搭載した Windows サーバの場合は、警告と見なされます。これは、この脆弱性を悪用する攻撃の危険性を考慮すれば妥当なものです。脆弱性の悪用に成功した攻撃者は、現在のユーザと同じユーザ権限を手に入れます。ほとんどのサーバでは、管理者としてログインしているユーザはいませんが、通常の Windows クライアントでは、多数のユーザが管理者としてログインしている可能性があります。脆弱性を不正利用する最も簡単な方法は、一見無害に見え、セキュリティ ソフトウェア アラートをトリガーするとは思えない、悪意のある Web サイトにユーザをアクセスさせることです。攻撃者はユーザに行動させるよう誘導しなければなりません。一般には、電子メールまたはインスタント メッセージから誘導したり、電子メールの添付ファイルを開かせたりします。

これらの脆弱性を KB 番号で追跡できるように、このセクションで参照される項目の番号を以下に示します。

  • KB なし、MS16-141、Adobe Flash Player 用のセキュリティ更新プログラム
  • KB 3198467、MS16-128、Internet Explorer 用の累積的なセキュリティ更新プログラム
  • KB 3199057、MS16-129、Microsoft Edge 用の累積的なセキュリティ更新プログラム
  • KB 3199120、MS16-132、Microsoft Graphics コンポーネント用のセキュリティ更新プログラム
  • KB 3199151、MS16-131、Microsoft ビデオ コントロール用のセキュリティ更新プログラム
  • KB 3199172、MS16-130、Microsoft Windows 用のセキュリティ更新プログラム

 

重要と評価された報告

今月のパッチの大部分が、これに該当します。Microsoft の報告 MS16-129 ~ 130 および 132 は、緊急の報告に記載されていますが、重要に分類される追加のパッチ情報も含んでいます。次の報告には、重要な更新のみが含まれており、MS16-133 ~ 135 および MS16-137 ~ 140 を対象としています。このグループにはもう 1 つ報告が残っており、それには警告パッチ MS16-136 の情報も含まれています。

MS16-129 には、Edge に影響する、警告と評価される 6 件の CVE の情報が含まれています。脆弱性の情報は、上記の緊急のセクションで示した情報と似ています。

MS16-130(CVE-2016-7221 および 7222)は、複数のプラットフォームに対する特権の昇格に関する脆弱性に対応し、Windows クライアント 10、8.1、7、Vista、および Windows Server 2016、2012、2012R2、2008、2008R2 に対応します。一覧にないプラットフォームは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。CVE-2016-7222 ドキュメントには、Windows 10 および Server 2016 にのみ影響すると記載されています。悪用すると、ローカルに認証された攻撃者が、Windows タスク スケジューラを使用して、悪意のある UNC パスで新しいタスクをスケジュールできます。CVE-2016-7221 は、報告によると、前述したすべてのプラットフォームに影響します。CVE-2016-7221 を悪用するには、ローカルに認証された攻撃者は、巧妙に細工されたアプリケーションを実行する必要があります。

上記で説明したように MS16-132 には、Microsoft Graphics アニメーション機能の緊急の脆弱性に対応する情報が含まれています。また、CVE-2016-7210 で詳しく説明されている Microsoft Graphics および Open Type フォント情報に関する重要な脆弱性についての情報も含まれています。不正利用するには、特別に細工された文書を開くように仕向ける、信頼できない Web ページにアクセスするようユーザを誘導するなど、複数の方法があります。報告では、32 ビットと 64 ビットの両システムにおける CVE-2016-7210 について、固有の対応策を詳述しています。いずれの場合も、システムの再起動が必要です。

MS16-133 は、12 件の CVE を対象とし、メモリ破損、情報開示、サービス妨害(DoS)に関する、すべて重要と評価される脆弱性に対応します。影響を受ける製品は、Windows プラットフォーム上の Office 2007 から最新の 2016、Office for Mac 2011 および 2016、および各種の Office 互換機能パックにわたります。これらの脆弱性のいずれかを不正利用するため、攻撃者は、影響されるバージョンの Microsoft Office ソフトウェアを使用して、特別に細工したファイルをユーザに開かせようとします。ファイルは、電子メールの添付ファイルやインスタント メッセージのファイルとして送信するか、特別に細工したファイルを含む Web サイトに配置されます(またはユーザが提供したコンテンツを受理またはホストする、侵害された Web サイトを利用します)。攻撃者がこれらのいずれかの脆弱性を不正利用すると、攻撃者が次の 1 つ以上の操作を実行するリスクが発生します。

  • 領域外のメモリを表示する
  • 現在のユーザのコンテキストで任意のコードを実行する
  • プログラムのインストール、データの表示、変更、削除などを行ったり、すべてのユーザ権限を持つ新たなアカウントを作成する
  • Office の応答を停止させる。DoS 攻撃では、攻撃者はコードを実行したりユーザ権限を昇格させたりすることはできません。

 

MS16-134 は 10 件の CVE に対応し、共通ログ ファイル システム(CFLS)ドライバにおける特権昇格の脆弱性に対処します。これらを不正利用する一般的な方法は、特別に細工されたアプリケーションを実行して、影響を受けるシステムを完全に制御することです。攻撃者がこの脆弱性の不正利用に成功した場合、昇格されたコンテキストでプロセスを実行する可能性があります。影響を受けるのは、Windows クライアント プラットフォームでは Vista、7、8.1、RT 8.1、10、サーバ エディションでは 2008、2008 R2、2012、2012 R2 です。

MS16-135 は Windows のすべてのサポート対象リリースに影響を与え、含まれているすべての脆弱性は重要と評価されています。これは、特権の昇格と情報開示を含む CVE-2016-7214、CVE-2016-7215、CVE-2016-7218、CVE-2016-7246 および 7255 で示されている、カーネルモード ドライバの脆弱性に対応します。最も重大な脆弱性(CVE-2016-7215)の場合、攻撃者が影響を受けるシステムにログオンして、脆弱性を悪用して影響を受けるシステムの制御を奪うように特別に細工されたアプリケーションを実行すると、特権の昇格を許してしまいます。アカウント権限が昇格された後、攻撃者は、プログラムのインストール、データの表示、変更、削除などを行ったり、すべてのユーザ権限を持つ新たなアカウントを作成したりする可能性があります。

MS16-136 更新プログラムは、Microsoft SQL Server の脆弱性を解決し、Microsoft SQL Server 2012、2014、および 2016 について重要と評価されています。この製品に影響を与える CVE は、CVE-2016-7249 ~ 7254 の 6 件があります。また、セキュリティ更新には、セキュリティ以外の重要な修正も含まれています。まず、最も深刻な脆弱性は、複数の SQL RDBMS エンジンの特権昇格の脆弱性です(49、50、および 54)。これらの脆弱性が不正利用されると、ポインタのキャストによって、攻撃者はデータの表示、変更、削除を行ったり、影響される SQL バージョンへのアクセスがアカウントのクレデンシャルで許可されている場合、新しいアカウントを作成したりする可能性があります。次に、1 つの XSS API の脆弱性(7251)があります。この脆弱性では、SQL Server MDS が SQL Server サイトのリクエスト パラメータを適切に検証しないため、悪意のある攻撃者は、コンテンツのスプーフィングや情報の開示を実行したり、ユーザがサイト上で実行できる操作を実行して、標的とするユーザの操作のように見せかけたりする、クライアント側スクリプトを挿入できます。3 番目の脆弱性は、Microsoft SQL Server Analysis Services(7252)です。SQL Analysis Service による filestream パスのチェックが不適切であると、影響される SQL Server データベースへのアクセスがクレデンシャルで許可されている場合、攻撃者はその他のデータベースおよびファイル情報を取得することができます。最後に、CVE-2016-7253 は、Microsoft SQL Server エンジンに存在する脆弱性で、SQL サーバ エージェントが atxcore.dll の ACL を適切に検証しないときに発生します。不正利用によって攻撃者は、昇格された特権を取得し、データの表示、変更、削除などを行ったり、新たなアカウントを作成したりする可能性があります。

MS16-137 は、1) 情報開示の脆弱性(CVE-2016-7220)、2) DoS(CVE-2016-7237)、3) 特権の昇格(CVE-2016-7238)という、Windows 認証方式に関する 3 件の CVE を含みます。これらの中で最も深刻な CVE-2016-7238 では、攻撃者はドメイン参加システムに、管理者以外のユーザ アカウントで認証する必要があります。すると攻撃者のアクセス許可が、非特権から管理者へと昇格し、プログラムのインストールや、データの表示、変更、削除、新たなアカウントの作成を実行できるようになります。2 つ目の不正利用の方法は、NTLM パスワード変更要求を操作するために特別に細工されたアプリケーションをローカルで実行することです。CVE-2016-7220 が不正利用された場合、ローカルに認証された攻撃者が特別に細工されたアプリケーションをシステムで実行すると、情報開示の脆弱性が発生し、機密情報にアクセスすることができます。この脆弱性は、単独では攻撃者がシステムを侵害するには不十分です。ただし、別の脆弱性と組み合わせると、ホストの不正利用や侵害が可能になります。MS16-137 で対応する最後の重要な脆弱性は CVE-2016-7237 で、ローカル セキュリティ機関サブシステム サービス(LSASS)DoS の脆弱性です。認証されたリモート攻撃者がこの脆弱性の不正利用に成功した場合、特別に細工したリクエストを送信して、ホストに DoS 攻撃を実行できます。

MS16-138 は、CVE-2016-7223 ~ 7226 の 4 件の CVE に対応します。Microsoft 仮想ハード ドライブの脆弱性と、VHDMP カーネル ドライバが特定のファイルへのアクセスを処理する方法を説明しています。これらの脆弱性を不正利用するには、ローカル システムへのアクセス権と、特別に細工したアプリケーションをシステムで実行するための十分な権限が必要です。

MS16-139 はこのリリース内の他の報告に比べると比較的小規模な報告です。2 つのクライアント オペレーティング システム、Windows Vista と 7 と、1 つのサーバ プラットフォーム 2008 R2 に影響する、CVE-2016-7216 という 1 つの CVE があります。不正利用が発生すると、Windows カーネル API から機密情報へのユーザ アクセスが許可されます。このアクセス権を取得すると、ローカルで認証された攻撃者は、特別に細工されたアプリケーションを実行することで、この脆弱性を不正利用できます。

MS16-140 は、クライアントの Windows 8.1、RT 8.1、10、および Windows Server 2012 および 2012 R2 の、すべてのサポートされるエディションで重要と評価されています。これにより、Windows セキュア ブートがブート マネージャを適切にロードしない場合に Windows セキュリティがバイパスされます。次のリスクがあります。

  • コード整合性チェックの無効化
  • テスト署名された実行可能ファイルとドライバのロードの許可
  • BitLocker のセキュア ブート整合性の検証のバイパス
  • デバイスの暗号化セキュリティ機能のバイパス

 

MS16-142 には、IE 向けに重要と評価された 2 つの CVE の情報が含まれます。脆弱性情報自体は、上記の「緊急」セクションで取り上げたものと基本的に同様ですが、サーバに対しては、クライアント向けの「緊急」評価よりも「警告」評価のほうが妥当です。

これらの脆弱性を KB 番号で追跡できるように、このセクションで参照される重要な脆弱性の番号を以下に示します。

  • KB 3193479、MS16-140、ブート マネージャ用のセキュリティ更新プログラム
  • KB 3193706、MS16-134、共通ログ ファイル システム ドライバ用のセキュリティ更新プログラム
  • KB 3198467、MS16-128、Internet Explorer 用の累積的なセキュリティ更新プログラム
  • KB 3199057、MS16-129、Microsoft Edge 用の累積的なセキュリティ更新プログラム
  • KB 3199120、MS16-132、Microsoft Graphics コンポーネント用のセキュリティ更新プログラム
  • KB 3199135、MS16-135、カーネルモード ドライバ用のセキュリティ更新プログラム
  • KB 3199168、MS16-133、Microsoft Office 用のセキュリティ更新プログラム
  • KB 3199172、MS16-130、Microsoft Windows 用のセキュリティ更新プログラム
  • KB 3199173、MS16-137、Windows 認証方式用のセキュリティ更新プログラム
  • KB 3199641、MS16-136、SQL Server 用のセキュリティ更新プログラム
  • KB 3199647、MS16-138、Microsoft 仮想ハード ドライブ用のセキュリティ更新プログラム
  • KB 3199720、MS16-139、Windows カーネル用のセキュリティ更新プログラム

 

警告と評価された報告

Microsoft の報告 MS16-128 および 129 は「緊急」報告のリストに掲載され、MS 16-136 は「重要」報告セクションに掲載されています。これらの報告には、「警告」パッチに関する情報も含まれ、これらの 3 つのすべての報告にある情報を余さず読むことを強くお勧めします。

カバレッジ

Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。

Snort SID:

40645-40694

40701-40706

40711-40726

40729 & 40730

 

本稿は 2016年11月8日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday – November 2016popup_icon」の抄訳です。

 

Tags:
コメントを書く