Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft 月例パッチ — 10 月 18 日:脆弱性の公開と Snort カバレッジ


2018年10月26日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。最新のリリースでは、49 件の脆弱性が修正され、そのうち 12 件の深刻度が「緊急」、34 件が「重要」、2 件が「警告」、1 件が「注意」と評価されています。

このアドバイザリでは、Chakra スクリプト エンジン、Microsoft Edge インターネット ブラウザ、Microsoft Office 製品スイートをはじめとするソフトウェアの脆弱性に対応しています。

また、Microsoft Office 製品スイートpopup_iconの更新に関連する緊急のアドバイザリも含まれています。

深刻度が「緊急」の脆弱性

今月、Microsoft 社は、「緊急」と評価された 12 件の脆弱性を公開しました。詳細は次のとおりです。

CVE-2018-8491popup_iconCVE-2018-8460popup_icon、および CVE-2018-8509popup_icon は、Internet Explorer Web ブラウザにおけるメモリ破損の脆弱性です。いずれのケースでも、攻撃者はユーザをだまして巧妙に細工された悪意のある Web サイトを閲覧させることでブラウザのメモリを破損し、現在のユーザのコンテキストにおいてリモートでコードを実行できるようにする必要があります。攻撃者がスパム キャンペーンを使用してユーザを巧みに誘導できること、使用する攻撃を HTTPS を通じてネットワーク防御から隠匿可能であることから、このタイプの脆弱性は特に危険です。

CVE-2018-8473popup_icon は、Microsoft Edge におけるリモート コード実行の脆弱性です。Web ブラウザがメモリ内のオブジェクトにアクセスする方法に起因しています。攻撃者は、ユーザを巧妙にだまして悪意のある Web サイトを閲覧させるか、ユーザが作成したコンテンツまたは広告を受け付ける Web サイトを活用することで、この脆弱性をエクスプロイトする可能性があります。

CVE-2018-8513popup_iconCVE-2018-8500popup_iconCVE-2018-8511popup_iconCVE-2018-8505popup_icon、および CVE-2018-8510popup_icon は、さまざまな製品に影響する Chakra スクリプト エンジンにおけるメモリ破損の脆弱性です。いずれの場合も、攻撃者は現在のユーザのコンテキストでコードを実行してシステムを完全に制御するために、これらの脆弱性をエクスプロイトする可能性があります。攻撃者がスパム キャンペーンを使用してユーザを巧みに誘導できること、使用する攻撃を HTTPS を通じてネットワーク防御から隠匿可能であることから、このタイプの脆弱性は特に危険です。

CVE-2018-8494popup_icon は、Microsoft XML Core Services の MSXML パーサーがユーザ入力を処理するときに発生するリモート コード実行の脆弱性です。攻撃者は、巧妙に細工された Web サイト上で Web ブラウザを介して MSXML を呼び出すことによって、この脆弱性をエクスプロイトする可能性があります。ただし、ユーザを説得して Web ページを開かせる必要もあります。

CVE-2018-8490popup_icon および CVE-2018-8489popup_icon は、Windows Hyper-V ハイパーバイザにおけるリモート コード実行の脆弱性です。Hyper-V 上のホスト サーバが、ゲスト オペレーティング システム上で認証ユーザからの入力を適切に確認できないことに起因しています。攻撃者は、ゲスト オペレーティング システムで巧妙に細工されたアプリケーションを実行し、Hyper-V ホスト オペレーティング システムで任意のコードを実行できるようにすることで、これらの脆弱性をエクスプロイトする可能性があります。

深刻度が「重要」の脆弱性

このリリースには、「重要」と評価された 34 件の脆弱性も含まれていました。Talos では、そのうち次の 22 件に注目しています。

CVE-2018-8512popup_icon は Microsoft Edge におけるセキュリティ機能のバイパスの脆弱性です。この Web ブラウザの Edge コンテンツ セキュリティ ポリシー(CSP)では、巧妙に細工された特定のドキュメントを適切に確認できないため、攻撃者によってユーザが巧みに誘導され、悪意のあるページをロードする可能性があります。

CVE-2018-8448popup_icon は Microsoft Exchange 電子メール サーバにおける特権の昇格の脆弱性です。Exchange Outlook Web Access が Web 要求を適切に処理できないことに起因しています。攻撃者は、機密情報を開示させるようにユーザを誘導するスクリプトまたはコンテンツ インジェクション攻撃を実行することで、この脆弱性をエクスプロイトする可能性があります。また、電子メールやチャット クライアントでのソーシャル エンジニアリングを通じて、ログイン クレデンシャルを提供するようにユーザを仕向ける可能性もあります。

CVE-2018-8453popup_icon は、Windows オペレーティング システムにおける特権の昇格の脆弱性で、Win32k コンポーネントがメモリ内のオブジェクトを適切に処理できないときに発生します。攻撃者は、システムにログオンして巧妙に細工されたアプリケーションを実行することにより、カーネル モードで任意のコードを実行する権限を取得する可能性があります。

CVE-2018-8484popup_icon は DirectX Graphics Kernel ドライバにおける特権の昇格の脆弱性で、このドライバがメモリ内のオブジェクトを適切に処理できないときに発生します。攻撃者は、システムにログオンして巧妙に細工されたアプリケーションを実行することにより、昇格したコンテキストでこの脆弱性をエクスプロイトし、プロセスを実行する可能性があります。

CVE-2018-8423popup_icon は、Microsoft JET Database Engine におけるリモート コード実行の脆弱性です。影響を受けたシステムは攻撃者に制御されてしまう可能性があります。この脆弱性は、ユーザがシステム上で巧妙に細工された Microsoft JET Database Engine ファイルを開くかインポートしなければ、エクスプロイトできません。攻撃者が電子メールを使用してユーザをだまし、悪意のあるファイルを開かせる可能性もあります。

CVE-2018-8502popup_icon は、保護されたビュー内のオブジェクトを適切に処理できない場合に、Microsoft Excel のセキュリティ機能がバイパスされる脆弱性です。攻撃者は、電子メールまたは Web ページを通じてユーザを説得し、巧妙に細工された悪意のある Excel ドキュメントを開かせることに成功すると、現在のユーザのコンテキストで任意のコードを実行することができます。この脆弱性は、ユーザがプレビュー ウィンドウのみで Excel ファイルを開く場合はエクスプロイトできません。

CVE-2018-8501popup_icon は、Microsoft PowerPoint におけるセキュリティ機能のバイパスの脆弱性です。Microsoft PowerPoint が保護されたビュー内のオブジェクトを適切に処理できないことに起因しています。攻撃者は、ユーザを説得して巧妙に細工された PowerPoint ファイルを開かせることに成功すると、現在のユーザのコンテキストで任意のコードを実行することができます。この脆弱性は、ユーザがプレビュー モードでファイルを開くだけの場合はエクスプロイトできません。

CVE-2018-8432popup_icon は、リモート コード実行の脆弱性です。Microsoft Graphics コンポーネントがメモリ内のオブジェクトを処理する方法に起因しています。この脆弱性をエクスプロイトするには、巧妙に細工されたファイルをユーザに開かせる必要があります。

CVE-2018-8504popup_icon は、Microsoft Word ワード プロセッサにおけるセキュリティ機能のバイパスの脆弱性です。Microsoft Word が保護されたビュー内のオブジェクトを処理する方法に起因しています。攻撃者は、ユーザを説得して悪意のある Word ドキュメントを開かせることに成功すると、現在のユーザのコンテキストで任意のコードを実行する権限を取得する可能性があります。この脆弱性は、ユーザがプレビュー モードでファイルを開く場合はエクスプロイトできません。

CVE-2018-8427popup_icon は、Microsoft Graphics コンポーネントにおける情報開示の脆弱性です。攻撃者は、ユーザをだまして巧妙に細工されたファイルを開かせ、メモリ レイアウトを開示させることで、この脆弱性をエクスプロイトする可能性があります。

CVE-2018-8480popup_icon は、Microsoft SharePoint コラボレーション プラットフォームにおける特権の昇格の脆弱性です。Microsoft SharePoint が、影響を受けた SharePoint Server に向けられた巧妙に細工された Web 要求を適切にサニタイズできないことに起因しています。攻撃者は、SharePoint Server に巧妙に細工された要求を送信することで、この脆弱性をエクスプロイトする可能性があります。

CVE-2018-8518popup_iconCVE-2018-8488popup_iconCVE-2018-8498popup_icon は、Microsoft SharePoint Server における特権の昇格の脆弱性です。攻撃者は、影響を受けた SharePoint Server に巧妙に細工された要求を送信してクロスサイト スクリプティング攻撃を実行し、現在のユーザのコンテキストでコードを実行することで、この脆弱性をエクスプロイトすることができます。

CVE-2018-8333popup_icon は、フィルター マネージャにおける特権の昇格の脆弱性です。フィルター マネージャがメモリ内のオブジェクトを適切に処理できないときに発生します。この脆弱性をエクスプロイトするには、攻撃者はシステムにログオンし、巧妙に細工されたファイルを削除する必要があります。その結果、昇格したユーザのコンテキストでコードを実行する権限を取得する可能性があります。

CVE-2018-8411popup_icon は、NFTS ファイル システムがアクセスを適切に確認できないときに発生する特権の昇格の脆弱性です。この脆弱性をエクスプロイトするには、攻撃者はシステムにログオンし、巧妙に細工されたアプリケーションを実行する必要があります。その結果、昇格したコンテキストでプロセスが実行される可能性があります。

CVE-2018-8320popup_icon は、DNS Global Blocklist 機能に存在する、セキュリティ機能のバイパスの脆弱性です。この脆弱性をエクスプロイトする攻撃者は、悪意のある DNS エンドポイントにトラフィックをリダイレクトする可能性があります。

CVE-2018-8492popup_icon は、Device Guard Windows 機能に存在する、セキュリティのバイパスの脆弱性です。この脆弱性により、Windows PowerShell に悪意のあるコードがインジェクトされる可能性があります。攻撃者がこの脆弱性をエクスプロイトするには、マシンに直接アクセスしてから、コード整合性ポリシーによって信頼されているスクリプトに悪意のあるコードをインジェクトする必要があります。悪意のあるコードは、その後このスクリプトと同じアクセス レベルで実行され、整合性ポリシーをバイパスします。

CVE-2018-8329popup_icon は、Windows 上の Linux における特権の昇格の脆弱性です。Linux がメモリ内のオブジェクトを適切に処理できないことに起因しています。攻撃者は、システムにログインして巧妙に細工されたアプリケーションを実行することで、影響を受けたシステムを完全に制御することができます。

CVE-2018-8497popup_icon は、Windows Kernel がメモリ内のオブジェクトを処理する方法に起因する特権の昇格の脆弱性です。ローカルで認証された攻撃者は、巧妙に細工されたアプリケーションを実行することでこの脆弱性をエクスプロイトすることができます。

CVE-2018-8495popup_icon は、Windows Shell が URI を処理する方法に起因するリモート コード実行の脆弱性です。この脆弱性をエクスプロイトするには、攻撃者はユーザを説得して Microsoft Edge 上で巧妙に細工された Web サイトを閲覧させる必要があります。

CVE-2018-8413popup_icon は、「Windows Theme API」がファイルを適切に解凍できないときに発生するリモート コード実行の脆弱性です。攻撃者は、電子メール、チャット クライアント メッセージ、または悪意のある Web ページ を介してユーザを説得して巧妙に細工されたファイルを開かせ、現在のユーザのコンテキストでコードを実行することで、この脆弱性をエクスプロイトすることができます。

深刻度が「重要」のその他の脆弱性:

深刻度が「警告」の脆弱性

「警告」と評価された 2 つの脆弱性のうち、Talos では次の 1 件に注目する必要があると考えています。

CVE-2010-3190popup_icon は、Microsoft Foundation Class を使用して構築された特定のアプリケーションが DLL ファイルのローディングを処理する方法に起因する、リモート コード実行の脆弱性です。攻撃者はこの脆弱性をエクスプロイトすることで、影響を受けたシステムを完全に制御する可能性があります。この脆弱性が最初に開示された時点で、Exchange Server は対象製品に含まれていませんでした。そのため、今回のリリースで 2010 年の脆弱性を公開することになりました。

「警告」と評価されたもう 1 つの脆弱性は CVE-2018-8533popup_icon です。

重大度が「注意」の脆弱性

Talos では、「注意」と評価された 1 つの脆弱性にも注目しています。

CVE-2018-8503popup_icon は、Chakra スクリプト エンジンが Microsoft Edge Web ブラウザでメモリ内オブジェクトを処理する方法に起因する、リモート コード実行の脆弱性です。この脆弱性をエクスプロイトするには、攻撃者はユーザを説得して、ユーザが作成したコンテンツまたは広告を受け付ける悪意のある Web サイトや Web ページ上の悪意のあるコンテンツを閲覧させる必要があります。

カバレッジ

Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の Snort ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。

Snort ルール:48045 – 48057、48058 – 48060、48062、48063、48072、48073popup_icon

 

本稿は 2018年10月9日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday ? October 18: Vulnerability disclosures and Snort coveragepopup_icon」の抄訳です。

Tags:
コメントを書く