Cisco Japan Blog
Share

Microsoft Patch Tuesday – 2017 年 10 月


2017年10月23日


Microsoft 社は、各種の製品で確認・修正された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月の月例パッチでは、63 件の新たな脆弱性が修正されています。そのうち 28 件が「緊急」で、35 件が「重要」と評価されています。これらの脆弱性が影響するのは、Graphics、Edge、Internet Explorer、Office、Sharepoint、Windows Graphic Display Interface、Windows カーネル モード ドライバなどです。

「緊急」と評価された脆弱性

以下の脆弱性は、Microsoft 社が「緊急」と評価したものです。

CVE-2017-11813、CVE-2017-11822:Internet Explorer におけるメモリ破壊の脆弱性

Internet Explorer では、現在のユーザのコンテキストでコードがリモート実行される危険性のある 2 件の脆弱性が新たに確認されました。これらの脆弱性は、Web ページのレンダリングを試行した際にメモリ内オブジェクトが適切に処理されないことに起因します。いずれの脆弱性も、脆弱性を突いた Web ページにアクセスするとエクスプロイトされる危険性があります。

CVE-2017-11762、CVE-2017-11763:Microsoft Graphics においてリモートでコードが実行される脆弱性

Microsoft Graphics Component のフォント ライブラリでは、任意のコードが実行される危険性のある 2 件の脆弱性が新たに確認されました。これらの脆弱性は、Web ページまたはドキュメント内に組み込まれた特殊なフォントをライブラリが適切に処理できないことに起因します。これら 2 件の脆弱性は、悪意のある Web ページにユーザが移動した場合、または脆弱性を突いたドキュメントをユーザが開いた場合に、エクスプロイトされる危険性があります。

複数の CVE:スクリプト エンジンにおけるメモリ破壊の脆弱性

Edge および Internet Explorer のスクリプト エンジンで、任意のコードがリモートで実行される危険性のある脆弱性が複数確認されました。いずれの脆弱性も、Edge および Internet Explorer のスクリプト エンジンがメモリ内オブジェクトを適切に処理できないことに起因します。その結果、エクスプロイトが成功すると現在のユーザのコンテキストで任意のコードが実行される危険性があります。これらの脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた Web ページにユーザを誘導する手口や、「安全に初期化可能」と装った ActiveX コントロールを Microsoft Office ドキュメントに埋め込んでユーザに開かせる Web ベースの攻撃などが考えられます。

以下は、これらの脆弱性に関連する CVE のリストです。

  • CVE-2017-11767
  • CVE-2017-11792
  • CVE-2017-11793
  • CVE-2017-11796
  • CVE-2017-11797
  • CVE-2017-11798
  • CVE-2017-11799
  • CVE-2017-11800
  • CVE-2017-11801
  • CVE-2017-11802
  • CVE-2017-11804
  • CVE-2017-11805
  • CVE-2017-11806
  • CVE-2017-11807
  • CVE-2017-11808
  • CVE-2017-11809
  • CVE-2017-11810
  • CVE-2017-11811
  • CVE-2017-11812
  • CVE-2017-11821

CVE-2017-11779:Windows DNSAPI においてリモートでコードが実行される脆弱性

Windows DNS では、リモート コードが実行される可能性のある脆弱性が新たに確認されました。この脆弱性により、攻撃者は、ローカル システム アカウントのコンテキストで任意のコードを実行できる可能性があります。この脆弱性は DNS 応答の不適切な処理に起因しており、DNSAPI.dll に出現します。この脆弱性がエクスプロイトされるシナリオとしては、悪意のある DNS サーバを攻撃者が立ち上げ、細工した DNS 応答を標的に送信するなどの手口が考えられます。

CVE-2017-11771:Windows Search においてリモートでコードが実行される脆弱性

Window Search では、任意のコードが実行される危険性のある脆弱性が新たに確認されました。この脆弱性により、攻撃者は昇格した特権でコードを実行する可能性があります。この脆弱性はメモリ内オブジェクトが適切に処理されないことに起因します。この脆弱性をエクスプロイトするには、攻撃者がターゲット ホストのアクセス権を得るか、SMB 接続を通じてリモートで脆弱性をトリガーする必要があります。

CVE-2017-8727:Windows Shell におけるメモリ破壊の脆弱性

Internet Explorer では、リモート コードが実行される可能性のある脆弱性が新たに確認されました。この脆弱性により、攻撃者は、現在のユーザのコンテキストで任意のコードを実行できる可能性があります。この脆弱性は、Internet Explorer が Microsoft Windows Text Services Framework を通じてメモリ内オブジェクトにアクセスする際のアクセス方法が不適切なことに起因します。脆弱性がエクスプロイトされるシナリオとしては、攻撃者が脆弱性を突いた Web ページを作成し、ソーシャル エンジニアリングによってユーザをそこに誘導する、などの手口が考えられます。他にも、脆弱性を突いた Web ページやサイト(または侵害された Web ページやサイト)に攻撃者が提供したコンテンツや広告を表示させ、そこにユーザを誘導する、などの手口も考えられます。

CVE-2017-11819:Windows Shell においてリモートでコードが実行される脆弱性

Microsoft の Web ブラウザでは、リモート コードが実行される可能性のある脆弱性が新たに確認されました。この脆弱性はメモリ内オブジェクトが適切に処理されないことに起因します。この脆弱性がエクスプロイトされると、攻撃者が現在のユーザのコンテキストで任意のコードを実行できる可能性があります。脆弱性がエクスプロイトされるシナリオとしては、細工された Web ページにソーシャル エンジニアリングを介してユーザを誘導する、などの手口が考えられます。他にも、脆弱性を突いた Web ページやサイト(または侵害された Web ページやサイト)に攻撃者が提供したコンテンツや広告を表示させ、そこにユーザを誘導する、などの手口も考えられます。

「重要」と評価された脆弱性

次の脆弱性は、Microsoft によって「重要」と評価されています。

CVE-2017-11790:Internet Explorer における情報漏えいの脆弱性

Internet Explorer では、新たに情報漏えいの脆弱性が確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、Internet Explorer がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性は、攻撃者によって制御されている Web ページをユーザが開いた場合にエクスプロイトされる危険性があります。ユーザ生成のコンテンツが置かれたサイトを開いた場合も、エクスプロイトされる危険性があります。

CVE-2017-11794:Microsoft Edge における情報漏えいの脆弱性

Edge で、新たに情報漏えいの脆弱性が確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、Edge がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性は、攻撃者によって制御されている Web ページをユーザが開いた場合にエクスプロイトされる危険性があります。ユーザ生成のコンテンツが置かれたサイトを開いた場合も、エクスプロイトされる危険性があります。

CVE-2017-8726:Microsoft Edge におけるメモリ破壊の脆弱性

Edge で、リモート コードが実行される危険性のある脆弱性が新たに確認されました。この脆弱性により、攻撃者は、ユーザのコンテキストで任意のコードを実行できる可能性があります。この脆弱性は、Edge がメモリ内オブジェクトを適切に処理できないことに起因します。エクスプロイトのシナリオとしては、細工した Web ページにユーザを誘導する Web ベースの攻撃などが考えられます。他にも、「安全に初期化可能」と装った ActiveX コントロールを Microsoft Office ドキュメントに埋め込んでユーザに開かせる、といった Web ベースの攻撃も考えられます。

CVE-2017-8693:Microsoft Graphics における情報漏えいの脆弱性

Microsoft Windows Graphics Component では、情報漏えいの脆弱性が新たに確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、Graphics Component がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-8717、CVE-2017-8718:Microsoft JET Database Engine においてリモートでコードが実行される脆弱性

Microsoft JET Database Engine では、任意のコードが実行される危険性のある脆弱性が新たに 2 件確認されました。この脆弱性により、攻撃者は、現在のユーザのコンテキストで任意のコードを実行できる可能性があります。これらの脆弱性はバッファ オーバーフローに起因します。これらの脆弱性のエクスプロイトを成功させるには、該当バージョンの Windows で、細工した Microsoft Excel ドキュメントをユーザに開かせる(またはプレビュー画面を開かせる)必要があります。この脆弱性がエクスプロイトされる最も可能性が高いシナリオとしては、細工した Excel ドキュメントを標的に送信する電子メール ベースの攻撃が考えられます。

CVE-2017-11826:Microsoft Office におけるメモリ破壊の脆弱性

Microsoft Office では、任意のコードが実行される危険性のある脆弱性が新たに確認されました。この脆弱性は、Office でメモリ内オブジェクトを適切に処理できないことに起因します。不正な Office ドキュメントを開くとエクスプロイトされ、現在のユーザのコンテキストで攻撃者が選択する任意のコードが実行される可能性があります。これが発生するシナリオとしては、悪意のあるファイルを添付ファイルとして送る電子メールベースの攻撃や、悪意のある Office ドキュメントをダウンロードさせて開かせる Web ベースの攻撃などが考えられます。特定の条件下では、プレビュー ウィンドウが攻撃ベクトルになる場合もあります。

CVE-2017-11825 – Microsoft Office においてリモートでコードが実行される脆弱性

Microsoft Office では、任意のコードが実行される危険性のある脆弱性が新たに確認されました。この脆弱性は、Office でメモリ内オブジェクトを適切に処理できないことに起因します。不正な Office ドキュメントを開くとエクスプロイトされ、現在のユーザのコンテキストで攻撃者が選択する任意のコードが実行される可能性があります。これが発生するシナリオとしては、悪意のあるファイルを添付ファイルとして送る電子メールベースの攻撃や、悪意のある Office ドキュメントをダウンロードさせて開かせる Web ベースの攻撃などが考えられます。

複数の CVE:Microsoft Office SharePoint XSS における脆弱性

Microsoft Office Sharepoint では、クロスサイト スクリプティング(XSS)攻撃を引き起こす危険性のある脆弱性が新たに複数確認されました。これらの脆弱性は、Sharepoint Server でユーザからの Web 要求が適切にサニタイズされないことに起因します。これらの脆弱性がエクスプロイトされると、攻撃者は、現在のユーザのコンテキストでスクリプトを実行したり、本来であれば表示権限がないはずのコンテンツを閲覧したり、影響を受けるユーザの代わりにアクションを実行したりできます。

これらの脆弱性が反映された CVE は以下のとおりです。

  • CVE-2017-11775
  • CVE-2017-11777
  • CVE-2017-11820

CVE-2017-11776:Microsoft Outlook における情報漏えいの脆弱性

Microsoft Outlook では、秘密情報が第三者に漏えいする可能性のある脆弱性が新たに確認されました。この脆弱性は、Outlook がセキュアな接続を確立できないことに起因します。攻撃者がこの脆弱性をエクスプロイトすると、ユーザの電子メール コンテンツが取得される可能性があります。

CVE-2017-11774:Microsoft Outlook においてセキュリティ機能がバイパスされる脆弱性

Microsoft Outlook では、セキュリティ機能がバイパスされる脆弱性が新たに確認されました。この脆弱性により任意のコマンドが実行される可能性があります。この脆弱性は、Office でメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性は、細工されたドキュメント ファイルをユーザが開くとエクスプロイトされる可能性があります。エクスプロイトを受けるシナリオとしては、攻撃者がユーザにファイルを送り付けてソーシャル エンジニアリングによってファイルを開かせる、ファイル共有型攻撃などが考えられます。

CVE-2017-11772:Microsoft Search における情報漏えいの脆弱性

Windows Search では、情報漏えいの脆弱性が新たに確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、Window Search がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性は、細工したメッセージを認証ユーザが Window Search サービスに送信した場合にエクスプロイトされる危険性があります。他にも、未認証の攻撃者による SMB 接続により、エンタープライズ環境でリモートでエクスプロイトされる可能性もあります。

CVE-2017-11823:Microsoft Windows においてセキュリティ機能がバイパスされる脆弱性

Device Guard では、セキュリティ制御がバイパスされ、悪意のあるコードが Windows Powershell セッションに挿入される危険性のある脆弱性が新たに確認されました。この脆弱性は、Device Guard のコード整合性ポリシーにおける不適切な実装方法に起因しています。コード整合性ポリシーによって信頼されているスクリプトでは、ローカル マシンにアクセスできる攻撃者により悪意のあるコードが挿入される可能性があります。その結果、挿入されたコードがスクリプトと同じ信頼レベルで実行され、コード整合性ポリシーがバイパスされる可能性があります。

CVE-2017-11786:Skype for Business における特権昇格の脆弱性

Skype for Business では、特権昇格の脆弱性が新たに確認されました。この脆弱性により、認証された攻撃者が一般ユーザになりすませる可能性があります。この脆弱性は、Skype for Business が特定の認証要求を適切に処理できないことに起因します。攻撃者が細工したプロフィール画像を設定してチャットを開始すると、この脆弱性がエクスプロイトされて認証ハッシュが盗まれ、それが別のコンテキストで再利用される可能性があります。これらの脆弱性がエクスプロイトされると、ユーザに許可されているアクションを攻撃者が実行し、特権昇格などが引き起こされる危険性があります。

CVE-2017-11769:TRIE においてリモートでコードが実行される脆弱性

Windows では、任意のコードが実行される可能性のある脆弱性が新たに確認されました。この脆弱性により、攻撃者は、現在のユーザのコンテキストでコードを実行できる可能性があります。この脆弱性は、特定の Windows コンポーネントが DLL ファイルのロードを適切に処理できないことに起因します。この脆弱性がエクスプロイトされると、攻撃者は現在のユーザのコンテキストでアクションやコマンドを実行できる可能性があります。

CVE-2017-8689、CVE-2017-8694:Win32k における特権昇格の脆弱性

Windows カーネル モード ドライバでは、エクスプロイトにより権限が昇格される可能性のある脆弱性が新たに2 件確認されました。これらの脆弱性は、メモリ内オブジェクトが適切に処理されないことに起因します。脆弱性のエクスプロイトに成功すると、システムの管理者権限が攻撃者に渡る危険性があります。脆弱性を突いた実行可能ファイルを実行すると脆弱性がエクスプロイトされ、攻撃者は管理者としてアクションを実行できる可能性があります。

CVE-2017-11783:Windows における特権昇格の脆弱性

Windows では、特権昇格の脆弱性が新たに確認されました。この脆弱性により、認証された攻撃者は管理者権限を得られる可能性があります。この脆弱性は、Windows が Advanced Local Procedure Call(ALPC)に対するコールを適切に処理できないことに起因します。この脆弱性は、細工されたアプリケーションをユーザが該当システム上で実行した場合にエクスプロイトされる可能性があります。

CVE-2017-11816:Windows GDI における情報漏えいの脆弱性

Microsoft Windows グラフィックス デバイス インターフェイス(GDI)で、情報漏えいの脆弱性が新たに確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、GDI がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-11824:Windows Graphics Component における特権昇格の脆弱性

Microsoft Windows Graphics Component では、特権昇格の脆弱性が新たに確認されました。この脆弱性により、攻撃者は管理者権限を得られる可能性があります。この脆弱性は、Graphics Component がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-11817:Windows における情報漏えいの脆弱性

Windows カーネルでは、情報漏えいの脆弱性が新たに確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。この脆弱性は、カーネルがメモリ内オブジェクトを適切に初期化できないことに起因します。この脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-11784、CVE-2017-11785:Windows カーネルにおける情報漏えいの脆弱性

Windows カーネルでは、情報漏えいの脆弱性が 2 つ新たに確認されました。これらの脆弱性によって、攻撃者がメモリ アドレスを取得し、Kernel Address Space Layout Randomization(KASLR)をバイパスできる可能性があります。これらの脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-11765、CVE-2017-11814:Windows おける情報漏えいの脆弱性

Windows カーネルでは、情報漏えいの脆弱性が新たに 2 件確認されました。この脆弱性により、感染拡大に役立つ情報が攻撃者の手に渡る危険性があります。これらの脆弱性は、カーネルがメモリ内オブジェクトを適切に初期化できないことに起因します。これらの脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた特殊な実行可能ファイルを認証ユーザが起動した場合などが考えられます。

CVE-2017-8715:Windows においてセキュリティ機能がバイパスされる脆弱性

Device Guard では、セキュリティ制御がバイパスされ、悪意のあるコードが Windows Powershell セッションに挿入される危険性のある脆弱性が新たに確認されました。この脆弱性は、Device Guard のコード整合性ポリシーにおける不適切な実装方法に起因しています。コード整合性ポリシーによって信頼されているスクリプトでは、ローカル マシンにアクセスできる攻撃者により悪意のあるコードが挿入される可能性があります。その結果、挿入されたコードがスクリプトと同じ信頼レベルで実行され、コード整合性ポリシーがバイパスされる可能性があります。

CVE-2017-11781:Windows SMB における Denial of Service(DoS)の脆弱性

Microsoft SMB では、影響を受けるホストを攻撃者がクラッシュさせる Denial of Service(DoS)の脆弱性が新たに確認されました。この脆弱性は、SMB が特定の要求を適切に処理できないことに起因します。脆弱性がエクスプロイトされるシナリオとしては、細工した要求を該当サーバに送信して Denial of Service(DoS)状態に陥らせる、などが考えられます。

CVE-2017-11782:Windows SMB における特権昇格の脆弱性

Windows SMB Server のデフォルト設定では、特権昇格の脆弱性が新たに確認されました。特定の名前が付けられたパイプが匿名ユーザによりアクセスされる危険性があります。これらのパイプを経由してリクエストを承認するサービスでは、細工されたリクエストを攻撃者から送信される危険性があります。この脆弱性は、影響を受ける SMB サーバに攻撃者が SMB メッセージを送信できる場合にエクスプロイトされる可能性があります。

CVE-2017-11815:Windows SMB における情報漏えいの脆弱性

Windows SMB では、情報漏えいの脆弱性が新たに確認されました。この脆弱性により、本来であればアクセス権を持たないはずのファイルに攻撃者がアクセスできる可能性があります。この脆弱性は、SMB サーバが特定の要求を適切に処理できないことに起因します。この脆弱性は、攻撃者が SMB サーバに認証して SMB メッセージを送信できる場合にエクスプロイトされる可能性があります。

CVE-2017-11780:Windows SMB においてリモートでコードが実行される脆弱性

Microsoft Server Message Block 1.0(SMBv1)では、リモート コードが実行される可能性のある脆弱性が新たに確認されました。この脆弱性により、SMBv1 サーバが侵害される危険性があります。この脆弱性は、SMBv1 サーバによる特定の要求の処理方法に起因しています。この脆弱性は、未認証の攻撃者が、影響を受けるサーバに対して細工された要求を送信した場合にエクスプロイトされる危険性があります。

CVE-2017-11818:Windows Storage においてセキュリティ機能がバイパスされる脆弱性

Microsoft Windows Storage では、セキュリティ機能がバイパスされる脆弱性が新たに確認されました。この脆弱性により、特定の整合性レベルのアプリケーションが別のレベルでコードを実行できる可能性があります。この脆弱性は、Windows が整合性レベルのチェックを適切に検証できないことに起因します。

CVE-2017-8703:Windows Subsystem for Linux における Denial of Service(DoS)の脆弱性

Windows Subsystem for Linux(WSL)では、Denial of Service(DoS)の脆弱性が新たに確認されました。この脆弱性は、WSL がメモリ内オブジェクトを適切に処理できないことに起因します。この脆弱性は、細工されたアプリケーションを該当システム上で実行した場合にエクスプロイトされる可能性があります。

CVE-2017-11829:Windows Update Delivery Optimization における特権昇格の脆弱性

Windows Update Delivery Optimization では、特権昇格の脆弱性が新たに確認されました。この脆弱性により、攻撃者が自身の保有する特権よりも高い特権のファイルを上書きできる可能性があります。この脆弱性は、Windows Update Delivery Optimization がファイル共有権限を適切に適用できないことに起因します。この脆弱性は、攻撃者がシステムにログインして Delivery Optimization ジョブを作成できる場合にエクスプロイトされる可能性があります。

カバレッジ

Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の Snort ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は、SRU を更新して最新のルール セットをお使いください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。

Snort ルール:

  • 44333-44334
  • 44508-44519
  • 44526-44529
  • 44532-44533

 

本稿は 2017年10月10日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday – October 2017popup_icon」の抄訳です。

 

Tags:
コメントを書く