Microsoft 社は(8 月 14 日)、各種の製品で確認・修正された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月のリリースでは、62 件の新しい脆弱性が修正されています。そのうち 20 件は深刻度が「緊急」、38 件は「重要」、1 件は「警告」、1 件は「注意」と評価されています。これらの脆弱性は、Windows OS、Microsoft Edge や Internet Explorer などの製品に影響を与えます。
上記 60 件の脆弱性に加えて、緊急の更新アドバイザリ(ADV180020)も同社からリリースされています。このリリースでは、Adobe Flash セキュリティ情報(APSB18-25)で説明されている脆弱性に対処しています。
深刻度が「緊急」の脆弱性
Microsoft 社は今月、深刻度が「緊急」の脆弱性を 20 件修正しました。Talos ではこのうち次の 10 件に注目しており、迅速な対応が必要だと考えています。
CVE-2018-8273
?は、Microsoft SQL Server においてリモートで任意コードが実行される脆弱性です。SQL Server データベース エンジンの「Service」アカウントの権限で任意コードが実行される危険性があります。
CVE-2018-8302?は、Microsoft Exchange 電子メール/カレンダー ソフトウェアにおいてリモートで任意コードが実行される脆弱性です。メモリ内オブジェクトをソフトウェアが適切に処理できないことに原因があり、システム ユーザの権限で任意コードが実行される危険性があります。
CVE-2018-8344?は、Windows フォント ライブラリにおける、リモートで任意コードが実行される脆弱性です。細工された埋め込みフォントを適切に処理できないことに起因しています。脆弱性がエクスプロイトされると、システムが不正操作される危険性があります。この脆弱性がエクスプロイトされるシナリオは、複数考えられます。たとえば、脆弱性を突いた巧妙なホームページを攻撃者が作成し、リンクを開くようユーザを欺くといった Web ベースの攻撃が考えられます。攻撃者が制御している Web ページがリンク先となる場合もあれば、単に広告などの外部コンテンツをホストするページの場合もあります。脆弱性を突くよう細工されたドキュメントが使用される可能性もあります。
CVE-2018-8350?は、Microsoft Windows PDF ライブラリにおける、リモートで任意コードが実行される脆弱性です。メモリ内オブジェクトを適切に処理できないことに起因しています。脆弱性がエクスプロイトされた場合、現在のユーザと同じ権限が攻撃者の手に渡る危険性があります。Windows 10 上で Microsoft Edge をデフォルトのブラウザに選択している場合は、悪意のある PDF ファイルが含まれる Web サイトを Microsoft Edge から表示するだけでエクスプロイトされる可能性があります。PDF コンテンツを自動的に表示しない他の構成やシステムでは、細工された PDF ドキュメント(電子メールに添付された PDF ファイルなど)を開くようユーザを欺く必要があります。
CVE-2018-8266、CVE-2018-8355、CVE-2018-8380、CVE-2018-8381?および?CVE-2018-8384?[英語] は、Microsoft Edge においてリモートで任意コードが実行される脆弱性です。Chakra スクリプト エンジンによりメモリ内オブジェクトを処理する方法に起因しています。脆弱性がエクスプロイトされた場合、現在のユーザと同じ権限が攻撃者の手に渡る危険性があります。この脆弱性は、Web ベースの攻撃で利用される可能性があります。攻撃者は、この脆弱性を不正利用するために巧妙に細工した Web ページにアクセスするよう、ユーザを誘導します。攻撃者が制御している Web ページがリンク先となる場合もあれば、単に広告などの外部コンテンツをホストするページの場合もあります。
CVE-2018-8397?は、リモートで任意コードが実行される脆弱性です。Windows Graphics Device Interface(GDI)がメモリ内オブジェクトを処理する方法に起因しています。脆弱性がエクスプロイトされると、システムが不正操作される危険性があります。この脆弱性がエクスプロイトされるシナリオは、複数考えられます。たとえば、脆弱性を突いた巧妙なホームページを攻撃者が作成し、リンクを開くようユーザを欺くといった Web ベースの攻撃が考えられます。攻撃者が制御している Web ページがリンク先となる場合もあれば、単に広告などの外部コンテンツをホストするページの場合もあります。脆弱性を突くよう細工されたドキュメントが使用される可能性もあります。
「緊急」と評価された他の脆弱性は以下のとおりです(リンク先はすべて英語)。
CVE-2018-8345:LNK においてリモートで任意コードが実行される脆弱性
CVE-2018-8359:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8371:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8372:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8373:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8377:Microsoft Edge におけるメモリ破損の脆弱性
CVE-2018-8385:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8387:Microsoft Edge におけるメモリ破損の脆弱性
CVE-2018-8390:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8403:Microsoft 製ブラウザにおけるメモリ破損の脆弱性
深刻度が「重要」の脆弱性
Microsoft 社は今月、深刻度が「重要」の脆弱性を 38 件修正しました。Talos ではこのうち次の 2 件に注目しており、迅速な対応が必要だと考えています。
CVE-2018-8200?は Device Guard に存在する脆弱性です。Windows PowerShell セッションに不正コードを挿入される危険性があります。脆弱性がエクスプロイトされると、信頼できる PowerShell プロセスにコードがインジェクトされ、Device Guard の署名を使ったコード整合性ポリシーがローカル マシン上でバイパスされる可能性があります。脆弱性をエクスプロイトするには、攻撃者がローカル マシンにアクセスし、ポリシーによって信頼されているスクリプトに不正コードをインジェクトする必要があります。インジェクトされたコードはスクリプトと同じ信頼レベルで実行され、ポリシーをバイパスします。
CVE-2018-8340?は、Windows 認証方法における脆弱性です。Active Directory フェデレーション サービス(AD FS)のセキュリティ機能がバイパスされる危険性があります。脆弱性がエクスプロイトされると、認証要素が(一部に限り)バイパスされる可能性があります。
「重要」と評価された他の脆弱性は以下のとおりです(リンク先はすべて英語)。
CVE-2018-0952:Diagnostic Hub Standard Collector における特権昇格の脆弱性
CVE-2018-8204:Device Guard の署名を使ったコード整合性ポリシーで、セキュリティ機能がバイパスされる脆弱性
CVE-2018-8253:Cortana における特権昇格の脆弱性
CVE-2018-8316:Internet Explorer においてリモートで任意コードが実行される脆弱性
CVE-2018-8339:Windows Installer における特権昇格の脆弱性
CVE-2018-8341:Windows カーネルにおける情報漏えいの脆弱性
CVE-2018-8342:Windows NDIS における特権昇格の脆弱性
CVE-2018-8343:Windows NDIS における特権昇格の脆弱性
CVE-2018-8346:LNK においてリモートで任意コードが実行される脆弱性
CVE-2018-8347:Windows カーネルにおける特権昇格の脆弱性
CVE-2018-8348:Windows カーネルにおける情報漏えいの脆弱性
CVE-2018-8349:Microsoft COM for Windows においてリモートで任意コードが実行される脆弱性
CVE-2018-8351:Microsoft Edge における情報漏えいの脆弱性
CVE-2018-8353:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8357:Microsoft 製ブラウザにおける特権昇格の脆弱性
CVE-2018-8358:Microsoft 製ブラウザにおいてセキュリティ機能がバイパスされる脆弱性
CVE-2018-8360:.NET Framework における情報漏えいの脆弱性
CVE-2018-8370:Microsoft Edge における情報漏えいの脆弱性
CVE-2018-8375:Microsoft Excel においてリモートで任意コードが実行される脆弱性
CVE-2018-8376:Microsoft PowerPoint においてリモートで任意コードが実行される脆弱性
CVE-2018-8378:Microsoft Office における情報漏えいの脆弱性
CVE-2018-8379:Microsoft Excel においてリモートで任意コードが実行される脆弱性
CVE-2018-8382:Microsoft Excel における情報漏えいの脆弱性
CVE-2018-8383:Microsoft Edge におけるスプーフィングの脆弱性
CVE-2018-8389:スクリプト エンジンにおけるメモリ破壊の脆弱性
CVE-2018-8394:Windows GDI における情報漏えいの脆弱性
CVE-2018-8396:Windows GDI における情報漏えいの脆弱性
CVE-2018-8398:Windows GDI における情報漏えいの脆弱性
CVE-2018-8399:Win32k における特権昇格の脆弱性
CVE-2018-8400:DirectX Graphics Kernel における特権昇格の脆弱性
CVE-2018-8401:DirectX Graphics Kernel における特権昇格の脆弱性
CVE-2018-8404:Win32k における特権昇格の脆弱性
CVE-2018-8405:DirectX Graphics Kernel における特権昇格の脆弱性
CVE-2018-8406:DirectX Graphics Kernel における特権昇格の脆弱性
CVE-2018-8412:Microsoft(MAU)Office における特権昇格の脆弱性
CVE-2018-8414:Windows Shell においてリモートで任意コードが実行される脆弱性
対象期間
Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の Snort ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
Snort ルール:
45877-45878、46548-46549、46999-47002、47474-47493、47495-47496、47503-47504、47512-47513、47515-47520
本稿は 2018年8月14日に Talos Group
Authors