Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / Microsoft セキュリティ更新プログラム(月例):2017 年 12 月

2017年12月20日 Leave a Comment
脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2017 年 12 月

1 min read



Microsoft 社は、各種の製品で確認・修正された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月の月例パッチでは、34 件の新たな脆弱性が修正されています。そのうち 21 件が「緊急」で、13 件が「重要」と評価されています。これらの脆弱性の影響を受けるのは、Edge、Exchange、Internet Explorer、Office、スクリプト エンジン、Windows などです。

対応済みの 33 件の脆弱性に加えて、動的データ交換(DDE)プロトコルを無効にすることで Microsoft Office のセキュリティを改善する更新プログラムもリリースされました。更新プログラムの詳細は ADV170021popup_icon に記載されています。影響を受ける Office 製品は、同社がサポートしているバージョンすべてに及びます。更新プログラムをインストールできない場合、DDE のエクスプロイト回避策についてはアドバイザリをご覧ください。

「緊急」と評価された脆弱性

Microsoft 社は、以下の脆弱性の重大度を「緊急」と評価しました。

次に、各脆弱性について簡単に説明します。

複数の CVE:スクリプト エンジンにおけるメモリ破壊の脆弱性

Edge および Internet Explorer のスクリプト エンジンで、任意のコードがリモートで実行される危険性のある脆弱性が複数確認されました。いずれの脆弱性も、Edge および Internet Explorer のスクリプト エンジンがメモリ内オブジェクトを適切に処理できないことに起因します。その結果、エクスプロイトが成功すると現在のユーザのコンテキストで任意のコードが実行される危険性があります。これらの脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた Web ページにユーザを誘導する手口や、「安全に初期化可能」と装った ActiveX コントロールを Microsoft Office ドキュメントに埋め込んでユーザに開かせる Web ベースの攻撃などが考えられます。

以下は、これらの脆弱性に関連する CVE のリストです。

  • CVE-2017-11886
  • CVE-2017-11889
  • CVE-2017-11890
  • CVE-2017-11893
  • CVE-2017-11894
  • CVE-2017-11895
  • CVE-2017-11901
  • CVE-2017-11903
  • CVE-2017-11905
  • CVE-2017-11907
  • CVE-2017-11908
  • CVE-2017-11909
  • CVE-2017-11910
  • CVE-2017-11911
  • CVE-2017-11912
  • CVE-2017-11914
  • CVE-2017-11918
  • CVE-2017-11930

CVE-2017-11888:Microsoft Edge におけるメモリ破壊の脆弱性

Edge および Internet Explorer のスクリプト エンジンで、任意のコードがリモートで実行される危険性のある脆弱性が確認されました。この脆弱性は、Edge および Internet Explorer のスクリプト エンジンがメモリ内オブジェクトを適切に処理できないことに起因します。エクスプロイトが成功すると、現在のユーザのコンテキストで任意のコードが実行される危険性があります。脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた悪意のある Web サイトにユーザがアクセスした場合が考えられます。

複数の CVE:Microsoft Malware Protection Engine においてリモートでコードが実行される脆弱性

Microsoft Malware Protection Engine では、任意のコードが実行される危険性のある脆弱性が 2 件確認されました。この脆弱性により、攻撃者が、LocalSystem アカウントのコンテキストでコードを実行できる危険性があります。これらの脆弱性は、エンジンのファイル スキャンが不適切なことに起因します。脆弱性がエクスプロイトされるシナリオとしては、細工されたファイルを該当バージョンの Microsoft Malware Protection Engine でスキャンした場合が考えられます。該当製品向けの更新プログラムは通常、組み込まれている自動更新機能によりリリース後 48 時間以内に反映されるため、管理者やユーザによる対策は特に必要ありません。

  • CVE-2017-11937
  • CVE-2017-11940

「重要」と評価された脆弱性

Microsoft 社は、以下の脆弱性の重大度を「重要」と評価しました。

次に、各脆弱性について簡単に説明します。

CVE-2017-11885:Windows RRAS サービスにおいてリモートでコードが実行される脆弱性

ルーティングとリモート アクセスが有効になっているシステムでは RPC に起因する脆弱性が確認されました。脆弱性がエクスプロイトされると、攻撃者によりコードが実行される危険性があります。攻撃者が脆弱性をエクスプロイトするには、細工したアプリケーションを実行する必要があります。ルーティングとリモート アクセスは、Windows のデフォルトの設定では無効になっています。ルーティングとリモート アクセスが無効になっているシステムには、脆弱性が発現しません。

複数の CVE:スクリプト エンジンにおける情報漏えいの脆弱性

Edge および Internet Explorer のスクリプト エンジンにおいて、情報漏えいの脆弱性が複数確認されました。これらの情報が攻撃者の手に渡ると、さらなるセキュリティ侵害に利用される危険性があります。これらの脆弱性は、スクリプト エンジンでメモリ内オブジェクトが適切に処理されないことに起因します。エクスプロイトが成功すると、機密情報が取得され、他のエクスプロイトの足がかりとして利用される危険性があります。エクスプロイトされるシナリオとしては、脆弱性を突いた悪意のある Web ページにユーザを誘導する Web ベースの攻撃などが考えられます。

以下は、これらの脆弱性に関連する CVE のリストです。

  • CVE-2017-11887
  • CVE-2017-11906
  • CVE-2017-11919

CVE-2017-11899:Microsoft Windows においてセキュリティ機能がバイパスされる脆弱性

Device Guard に脆弱性が確認されました。脆弱性がエクスプロイトされると、信頼できないファイルを誤って安全であると判断してしまう可能性があります。Device Guard ではファイルの安全性を検証する際に署名を使用しますが、この脆弱性により、悪意のあるファイルが実行される危険性があります。脆弱性が攻撃者に利用されると、信頼できないファイルを「安全なファイル」として偽装される可能性があります。

複数の CVE:スクリプト エンジンにおけるメモリ破壊の脆弱性

Edge および Internet Explorer のスクリプト エンジンで、任意のコードがリモートで実行される危険性のある脆弱性が複数確認されました。いずれの脆弱性も、Edge および Internet Explorer のスクリプト エンジンがメモリ内オブジェクトを適切に処理できないことに起因します。エクスプロイトが成功すると、現在のユーザのコンテキストで任意のコードが実行される危険性があります。これらの脆弱性がエクスプロイトされるシナリオとしては、脆弱性を突いた Web ページにユーザを誘導する手口や、「安全に初期化可能」と装った ActiveX コントロールを Microsoft Office ドキュメントに埋め込んでユーザに開かせる Web ベースの攻撃などが考えられます。

以下は、これらの脆弱性に関連する CVE のリストです。

  • CVE-2017-11913
  • CVE-2017-11916

CVE-2017-11927:Microsoft Windows における情報漏えいの脆弱性

Windows のプロトコル ハンドラに情報漏えいの脆弱性が確認されました。この脆弱性は、プロトコル ハンドラが自身に渡された URL と関連したゾーンを確認する際に、ネットワーク トラフィックをリモート サイトに送信することに起因します。攻撃者は、この脆弱性をエクスプロイトして機密情報を取得しようと試みる可能性があります。脆弱性がエクスプロイトされると、被害者のアカウントに関連付けられている NTLM ハッシュ値が取得される危険性があります。

CVE-2017-11932:Microsoft Exchange におけるスプーフィングの脆弱性

Microsoft Exchange にスプーフィングの脆弱性が確認されました。この脆弱性は、Outlook Web Access(OWA)が特定の Web 要求を正しく処理できないことに起因します。脆弱性がエクスプロイトされると、スクリプトとコンテンツが注入される危険性があります。悪意のある Web サイトにクライアントがリダイレクトされる危険性もあります。脆弱性をエクスプロイトするには、悪用のあるリンクを含む細工された電子メールを被害者に送り付ける必要があります。

CVE-2017-11934:Microsoft PowerPoint における情報漏えいの脆弱性

Microsoft Office に情報漏えいの脆弱性が確認されました。この脆弱性は、Microsoft Office がメモリ内のコンテンツを誤って公開してしまうことに起因しています。この脆弱性がエクスプロイトされると、機密情報が取得され、標的システムに対するさらなる攻撃に利用される危険性があります。エクスプロイトに成功するには、細工されたファイルをユーザに送り付けて開かせる必要があります。

CVE-2017-11935:Microsoft Excel においてリモートでコードが実行される脆弱性

Microsoft Excel において、メモリ内オブジェクトの不適切な処理により任意のコードが実行される脆弱性が確認されました。脆弱性を突いた Excel ドキュメントをユーザが開くと、脆弱性がエクスプロイトされる可能性があります。エクスプロイトが成功すると、攻撃者が現在のユーザのコンテキストで任意のコードを実行できる危険性があります。エクスプロイトされるシナリオとしては、電子メール ベースの攻撃や、ユーザ作成コンテンツをホストしているサイト(DropBox、OneDrive、Google Drive)から悪意のあるファイルをユーザにダウンロードさせる手口などが考えられます。

CVE-2017-11936:Microsoft SharePoint における特権昇格の脆弱性

Microsoft SharePoint Server に特権昇格の脆弱性が確認されました。それによって、攻撃者がユーザを装い、制限された操作を実行できるようになる危険性があります。この脆弱性は、細工された Web 要求が SharePoint 上で適切にサニタイズされないことに起因します。認証済みユーザ(攻撃者)により脆弱性がエクスプロイトされると、クロスサイト スクリプティング攻撃が実行され、そのユーザのコンテキストで他のユーザが任意の JavaScript を実行してしまう危険性があります。エクスプロイトに成功すると、攻撃者が認証済みユーザになりすましてコンテンツの読み取り、権限の変更、コンテンツの挿入を実行できる可能性があります。

CVE-2017-11939:Microsoft Office における情報漏えいの脆弱性

Microsoft Office では、ユーザの秘密キーが漏えいする可能性のある情報漏えいの脆弱性が確認されました。この脆弱性は、Office の Visual Basic マクロが、ドキュメントの保存中にユーザの秘密キーを証明書ストアから誤ってエクスポートしてしまうことに起因しています。ただし脆弱性のエクスプロイトには、別の脆弱性をエクスプロイトするか、またはユーザになりすますことで、(誤ってエクスポートされた)秘密キーが含まれるドキュメントを取得する必要があります。

対象期間

Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の Snort ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は、SRU を更新して最新のルール セットをお使いください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。

Snort ルール:

  • 37283 ~ 37284、45121 ~ 45124、45128 ~ 40133、45138 ~ 45153、45155 ~ 45156、45160 ~ 45163、45167 ~ 45170

 

本稿は 2017年12月12日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday – December 2017popup_icon」の抄訳です。

 

Authors

Avatar

TALOS Japan

コメントを書く