Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft Patch Tuesday – 2017 年 5 月


2017年5月15日

マイクロソフト社は本日、自社製品の脆弱性に対応するための月例セキュリティ更新プログラムをリリースしました。今月のリリースでは、56 件の脆弱性が修正されています。そのうち 15 件が「緊急」で 41 件が「重要」と評価されています。影響を受ける製品には、.NET、DirectX、Edge、Internet Explorer、Office、Sharepoint、Windows が含まれます。

Talos では、通常の月例マイクロソフトのセキュリティ勧告に加えて、Google Project Zero の Natalie Silvanovich 氏と Tavis Ormandy 氏によって報告された MsMpEng Malware Protection サービスの脆弱性(CVE-2017-0290)についてもカバレッジを提供しています。この特定の脆弱性に対する Snort ルールの SID は 42820-42821 です。

「緊急」と評価された脆弱性

次の脆弱性は「緊急」と評価されています。

  • CVE-2017-0221
  • CVE-2017-0222
  • CVE-2017-0224
  • CVE-2017-0227
  • CVE-2017-0228
  • CVE-2017-0229
  • CVE-2017-0235
  • CVE-2017-0236
  • CVE-2017-0240
  • CVE-2017-0266
  • CVE-2017-0272
  • CVE-2017-0277
  • CVE-2017-0278
  • CVE-2017-0279
  • CVE-2017-0290

これらの脆弱性では、以下のソフトウェアが影響を受けます。

Adobe Flash

Adobe 社では、Flash Player におけるメモリ破損の脆弱性を修正するため、セキュリティアップデートをリリースしました。この脆弱性が悪用されると、リモートでコードが実行される可能性があります。Windows 8/10 に搭載の Internet Explorer および Edge には Flash Player が統合されているため、Windows もこれらの脆弱性から影響を受けます。詳細については、同社の Flash Player のセキュリティ速報および情報popup_iconを参照してください。

Internet Explorer/Edge

Internet Explorer および Edge(および両ブラウザで利用されている Scripting Engine コンポーネント)では、メモリ破損の脆弱性が複数確認されています。これらの脆弱性は、Internet Explorer、Edge、および Chakra(スクリプト エンジン)がメモリ内のオブジェクトを処理する方法に関連しています。これらの脆弱性が悪用されると、特別に細工された Web ページをユーザが開いた際に、現在のユーザの権限で任意のコードが実行される危険性があります。

CVE:CVE-2017-0221popup_iconCVE-2017-0222popup_iconCVE-2017-0224popup_iconCVE-2017-0227popup_iconCVE-2017-0228popup_iconCVE-2017-0229popup_iconCVE-2017-0235popup_iconCVE-2017-0236popup_iconCVE-2017-0240popup_iconCVE-2017-0266popup_icon

Windows SMB

Microsoft Server Message Block(SMB)1.0 では、標的ホスト上で任意のコードが実行される危険性のある脆弱性が複数特定されました。マイクロソフトのアドバイザリ情報によれば、脆弱性の影響を受ける SMBv1 サーバに特別な細工をしたパケットを送信することで、認証されていない攻撃者により脆弱性が悪用されるおそれがあります。

CVE:CVE-2017-0272popup_iconCVE-2017-0277popup_iconCVE-2017-0278popup_iconCVE-2017-0279popup_icon

Microsoft Malware Protection Engine

Microsoft Malware Protection Engine では、カーネル レベルで任意のコードが実行される脆弱性が発見されています。この脆弱性(CVE-2017-0290popup_icon)は、細工されたファイルに対するスキャン方法に起因しています。悪意のあるファイルを含む電子メールを開いたり、(この脆弱性を狙った)悪意のある Web サイトにアクセスしたり、悪意のあるファイルをダウンロードしたりした際に脆弱性の影響を受ける可能性があります。

マイクロソフトでは、この問題に対処する更新ファイルを今回のセキュリティ更新プログラムとは別にリリースしています。更新ファイルは一般にリリースから 48 時間以内に適用されます。Malware Protection Engine の更新に際して、ユーザや管理者による操作は不要です。詳細については、Microsoft のセキュリティ アドバイザリpopup_iconを参照してください。

「重要」と評価された脆弱性

次の脆弱性は「重要」と評価されています。

  • CVE-2017-0064
  • CVE-2017-0077
  • CVE-2017-0171
  • CVE-2017-0175
  • CVE-2017-0190
  • CVE-2017-0212
  • CVE-2017-0213
  • CVE-2017-0214
  • CVE-2017-0220
  • CVE-2017-0226
  • CVE-2017-0230
  • CVE-2017-0231
  • CVE-2017-0233
  • CVE-2017-0234
  • CVE-2017-0238
  • CVE-2017-0241
  • CVE-2017-0242
  • CVE-2017-0244
  • CVE-2017-0245
  • CVE-2017-0246
  • CVE-2017-0248
  • CVE-2017-0254
  • CVE-2017-0255
  • CVE-2017-0258
  • CVE-2017-0259
  • CVE-2017-0261
  • CVE-2017-0262
  • CVE-2017-0263
  • CVE-2017-0264
  • CVE-2017-0265
  • CVE-2017-0267
  • CVE-2017-0268
  • CVE-2017-0269
  • CVE-2017-0270
  • CVE-2017-0271
  • CVE-2017-0273
  • CVE-2017-0274
  • CVE-2017-0275
  • CVE-2017-0276
  • CVE-2017-0280
  • CVE-2017-0281

これらの脆弱性では、以下のソフトウェアが影響を受けます。

.NET

.NET Framework および .NET Framework では、セキュリティ機能をバイパスできる脆弱性が特定され、修正されています。CVE-2017-0248popup_icon の脆弱性は、.NET コアと .NET コンポーネントが証明書を完全に検証できない問題に起因しています。特定用途に使用される(ただし無効な)証明書を攻撃者が提示すると、この脆弱性が悪用されるおそれがあります。

DirectX

DirectX グラフィックス カーネル サブシステム(dxgkrnl.sys)では特権昇格の脆弱性が特定され、修正されています。CVE-2017-0077popup_icon の脆弱性は、メモリ内のオブジェクトが正しく処理されない問題に起因しています。この問題を狙い撃ちした特別なアプリケーションをユーザが実行すると、この脆弱性が悪用される危険性があります。

Microsoft 製のブラウザ

Microsoft の Internet Explorer と Edge では複数の脆弱性が特定され、修正されています。2 件の脆弱性(CVE-2017-0233popup_icon および CVE-2017-0241popup_icon)は Edge における特権昇格の問題に関連しています。1 件は IE におけるメモリ破損の脆弱性(CVE-2017-0226popup_icon)、1 件は IE のセキュリティ機能がバイパスされる脆弱性(CVE-2017-0064popup_icon)、1 件はブラウザにおけるスプーフィングの脆弱性(CVE-2017-0231popup_icon)、そして 1 件は ActiveX における情報漏えいの脆弱性(CVE-2017-0242popup_icon)です。

オフィス

Mac および PC 向けの Microsoft Office では、任意のコードが実行される脆弱性が複数特定され、修正されています。これらの脆弱性は、メモリ内オブジェクトの処理方法に起因しています。現在の権限レベルでメモリが破壊されたり、任意のコードが実行されたりする危険性があります。特別に細工された Office ドキュメントを対象バージョンの Office で開くと、ホストシステム上でこれらの脆弱性がエクスプロイトされる可能性があります。脆弱性が悪用される可能性のある攻撃ベクトルには、悪質な添付ファイルを送り付ける電子メール ベースの攻撃も含まれます。

CVE:CVE-2017-0254popup_iconCVE-2017-0261popup_iconCVE-2017-0262popup_iconCVE-2017-0264popup_iconCVE-2017-0265popup_iconCVE-2017-0281popup_icon

Sharepoint

Sharepoint Foundation 2013 でクロスサイト スクリプティング(XSS)の脆弱性が特定され、修正されました。

CVE-2017-0255popup_icon の脆弱性は、影響を受けるサーバに対する Web リクエストが適切にサニタイジングされないことに起因しています。現在のユーザ権限でスクリプトが実行される危険性があります。この脆弱性が悪用されると、機密情報が漏えいしたり、標的ユーザを装ってサーバが操作されたりする可能性があります。

Win32k

Win32k サブシステムでは 3 件の脆弱性が特定され、修正されています。これらの脆弱性は、特権昇格やシステムに関する機密情報の不正取得につながる危険性があります。2 件の脆弱性(CVE-2017-0246popup_icon および CVE-2017-0263popup_icon)は特権昇格に関連しており、他の 1 件の脆弱性(CVE-2017-0245popup_icon)はシステムに関する機密情報の漏えいに関連しています。3 件の脆弱性はすべて、カーネル モード ドライバがメモリ内のオブジェクトを適切に処理できないことに起因しています。特別に作成されたアプリケーションが実行されると悪用される可能性があります。

Windows COM

Windows Component Object Model(COM)では 2 件の特権昇格の脆弱性(CVE-2017-0213 および CVE-2017-0214)が特定され、修正されています。CVE-2017-0213popup_icon は Windows COM Aggregate Marshaller に関連する脆弱性で、COM Marshaller がインターフェイス要求を処理する方法に起因しています。CVE-2017-0214popup_icon の脆弱性は、ライブラリをロードする前に入力を適切に検証できないことに起因します。タイプ ライブラリのロード時にエクスプロイトされる可能性があります。

Windows DNS

Windows DNS Server では Denial of Service(DoS)の脆弱性(CVE-2017-0171popup_icon)が特定され、修正されています。CVE-2017-0171 の脆弱性は、「バージョン クエリーに応答するようにサーバが設定されている場合」に DNS クエリーを処理する方法に起因しています。この脆弱性がリモートの攻撃者によって悪用されると、ホストが応答しなくなる危険性があります。

Windows GDI

Windows Graphics Device Interface(GDI)では、情報漏えいの脆弱性が特定され、修正されています。標的システムに関する情報が攻撃者によって取得される危険性があります。この脆弱性(CVE-2017-0190popup_icon)自体は、悪用されても標的システム上で任意のコードが実行される可能性がありません。ただし、この脆弱性に加えて別の脆弱性が悪用されると、任意のコードが実行される危険性があります。

Windows Hyper-V

Windows Hyper-V では特権昇格の脆弱性(CVE-2017-0212popup_icon)が特定され、修正されています。この脆弱性は、ホスト サーバが vSMB パケットを適切に処理できない問題に起因しています。

Windows カーネル

Windows カーネルでは 5 件の脆弱性が特定され、修正されています。そのうち 4 件は情報漏えいの脆弱性で、他の 1 件は特権昇格の脆弱性です。これら 5 件の脆弱性はすべて、メモリ内オブジェクトの処理方法に起因しています。

脆弱性を狙い撃ちした特別なアプリケーションによりこれらの脆弱性がエクスプロイトされると、ホストをさらに侵害するための情報が不正に取得される(情報漏えいの脆弱性の場合)か、または影響を受けるシステムが完全に支配される(特権昇格の脆弱性の場合)危険性があります。特権昇格の脆弱性(CVE-2017-0244)に限り、x86-64 ベースのシステムでは(特権の昇格ではなく)Denial of Service(DoS)攻撃が問題となります。

CVE:CVE-2017-0175popup_iconCVE-2017-0220popup_iconCVE-2017-0244popup_iconCVE-2017-0258popup_iconCVE-2017-0259popup_icon

Windows SMB

Microsoft Server Message Block(SMB)1.0 では、影響を受けるホストで Denial of Service(DoS)攻撃や情報漏洩えいを引き起こしかねない複数の脆弱性が確認されています。これらの脆弱性は、影響を受けるホストが SMBv1 要求を誤って処理することに起因しています。

CVE:CVE-2017-0267popup_iconCVE-2017-0268popup_iconCVE-2017-0269popup_iconCVE-2017-0270popup_iconCVE-2017-0271popup_iconCVE-2017-0273popup_iconCVE-2017-0274popup_iconCVE-2017-0275popup_iconCVE-2017-0276popup_iconCVE-2017-0280popup_icon

カバレッジ

Talos はこれらの情報の開示に対応して、脆弱性に対処する次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールの追加や変更がある場合がありますのでご注意ください。最新のルールの詳細については、Management Center または Snort.org を参照してください。

Snort ルール:

  • 42749-42785
  • 42798-42799
  • 42811-42812
  • 42820-42821(CVE-2017-0290)

 

本稿は 2017年5月9日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday – May 2017popup_icon」の抄訳です。

 

Tags:
コメントを書く