Microsoft 月例パッチ — 2018 年 11 月:脆弱性の公開と Snort カバレッジ
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。最新のリリースでは 53 件の脆弱性が修正され、そのうち 11 件が「緊急」、40 件が「重要」、1 件が「警告、1 件が「注意」と評価されています。
アドバイザリでは Chakra のスクリプト エンジン、Microsoft Outlook、DirectX の各バグに対処しています。
この更新には、次の 3 つのアドバイザリも含まれています。1 つは Adobe Flash Player の脆弱性に対処し、もう 1 つは Microsoft Surface タブレットで見つかった重要なバグに対処しています。加えて、ユーザが正しくソフトウェア暗号化を適用するための BitLocker の設定に関するガイダンスがあります。
脆弱性のカバレッジについて詳しくは、ここから
SNORTⓇブログ投稿をチェックしてください。
深刻度が「緊急」の脆弱性
Microsoft 社は今月 11 件の「緊急」の脆弱性を公開しました。詳細は次のとおりです。また、Adobe Flash Player に関する重要なアドバイザリもあります。
CVE-2018-8541、CVE-2018-8542、CVE-2018-8543、CVE-2018-8551、CVE-2018-8555、CVE-2018-8556、CVE-2018-8557、CVE-2018-8588はすべて Chakra スクリプト エンジンで発生するメモリ破損の脆弱性です。すべて Microsoft Edge のスクリプト エンジンによるメモリ内オブジェクトの処理方法に起因しています。これらの脆弱性がメモリ破損を引き起こし、現在のユーザのコンテキストで任意のコードが実行される危険性があります。攻撃者は、特別に細工された悪意のある Web サイトを Microsoft Edge で開くようユーザを誘導して、これらのバグをエクスプロイトします。
CVE-2018-8476?は、Windows Deployment Services TFTP サーバでリモート コードが実行される脆弱性です。このバグは TFTP サーバがメモリ内オブジェクトを処理する方法に起因しています。攻撃者は細工された HTTP 要求を送信することで、この脆弱性を不正利用します。
CVE-2018-8553 は、Microsoft Graphics コンポーネントで発生するリモート コード実行の脆弱性で、Microsoft Graphics コンポーネントがメモリ内のオブジェクトを処理する方法に起因しています。攻撃者は細工されたファイルを送信することで、この脆弱性を不正利用します。
CVE-2018-8544 はリモート コード実行の脆弱性で、VBScript エンジンがメモリ内オブジェクトを処理する方法に起因します。攻撃者がこの脆弱性を不正利用するには、細工された Web サイトに Internet Explore からアクセスするようユーザを誘導する必要がありますが、それ以外の方法として、Internet Explore のレンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに、攻撃者が「安全に初期化可能」とマークされた ActiveX コントロールを組み込む場合もあります。
ADV180025 は、Adobe Flash player の複数の脆弱性について説明しています。これらの脆弱性は Adobe が別のリリースで公開しています。Microsoft は、Web ブラウザで Flash を無効化することに加えて、Flash Player を最新バージョンに更新することも推奨しています。
深刻度が「重要」の脆弱性
また、このリリースには 40 件の重要な脆弱性があります。そのうち特に 7 つの脆弱性に注目して取り上げます。
CVE-2018-8256 は、PowerShell のリモートでコードが実行される脆弱性で、細工されたファイルを不適切に処理する際に発生します。悪意のあるコードが脆弱なシステムで実行される可能性があります。この更新では、ファイルが PowerShell で適切に処理されるようにすることで脆弱性を修正しています。
CVE-2018-8574 および CVE-2018-8577は、Microsoft Excel のリモートでコードが実行される脆弱性で、Excel がメモリ内オブジェクトを適切に処理できない場合に発生します。攻撃者はこのバグを不正利用するために、細工された Excel ファイルをメール添付などの方法でユーザに送信し、ファイルを開くよう誘導します。
CVE-2018-8582 は、Microsoft Outlook のリモートでコードが実行される脆弱性で、変更されたルール エクスポート ファイルを適切に解析できない場合に発生します。限られたユーザ権限が設定されているユーザは、管理者権限を持つユーザほどもこの脆弱性による影響を受けません。Microsoft Outlook を使用するワークステーションやターミナル サーバも危険にさらされています。攻撃者は、細工されたルール エクスポート ファイルをメールから開くようにユーザを誘導して、このバグを誘発します。
CVE-2018-8450 はリモートでコードが実行される脆弱性で、Windows Search によるメモリ内オブジェクトの処理方法に起因します。攻撃者は、Windows Search サービスに対して細工された関数を送信することによって、または SMB 接続を介してこの脆弱性を誘発します。
CVE-2018-8550 は Windows COM Aggregate Marshaler における権限昇格の脆弱性です。脆弱性がエクスプロイトされると、昇格された権限を使って任意のコードが実行される危険性があります。この脆弱性だけでは、直接ユーザが任意のコードを実行することはできませんが、昇格された権限を使ってコードを実行する他のバグと併用して使用される可能性があります。
CVE-2018-8570 は、Internet Explore のリモートでコードが実行される脆弱性で、Web ブラウザがメモリ内オブジェクトに不適切にアクセスする際に発生します。攻撃者は、Internet Explorer で悪意のある Web サイトをホストし、ユーザがそのリンクにアクセスするように誘導して、このバグをエクスプロイトします。
その他の重要な脆弱性は次のとおりです。
- CVE-2018-8408
- CVE-2018-8415
- CVE-2018-8417
- CVE-2018-8471
- CVE-2018-8485
- CVE-2018-8522
- CVE-2018-8524
- CVE-2018-8539
- CVE-2018-8545
- CVE-2018-8547
- CVE-2018-8549
- CVE-2018-8552
- CVE-2018-8554
- CVE-2018-8558
- CVE-2018-8561
- CVE-2018-8562
- CVE-2018-8563
- CVE-2018-8564
- CVE-2018-8565
- CVE-2018-8566
- CVE-2018-8567
- CVE-2018-8568
- CVE-2018-8572
- CVE-2018-8573
- CVE-2018-8575
- CVE-2018-8576
- CVE-2018-8578
- CVE-2018-8579
- CVE-2018-8581
- CVE-2018-8584
- CVE-2018-8589
- CVE-2018-8592
- CVE-2018-8407
「警告」の脆弱性
「警告」と評価された脆弱性は CVE-2018-8546で、Skype ビデオ メッセージ サービスのサービス妨害の脆弱性です。
「注意」の脆弱性
「注意」と評価された脆弱性は CVE-2018-8416 で、.NET Core の改ざんの脆弱性です。
カバレッジ
Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の SNORT?ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
Snort ルール:32637、45142、45143、48399 – 48404、48374 – 48388、48393 – 48395、48360 – 48373、48408 – 48410
Tags:
本稿は 2018年11月13日に Talos Group
