Microsoft セキュリティ更新プログラム(月例):2019 年 3 月の脆弱性開示と Snort カバレッジ
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。最新のリリースでは 64 件の脆弱性が修正され、そのうち 17 件が「緊急」、45 件が「重要」、1 件が「警告」、1 件が「注意」と評価されています。Adobe Flash Player のセキュリティ アップデートおよび SHA-2 関連の重要なアドバイザリ 2 件も同時に公開されました。
今月のセキュリティ更新プログラムでは、VBScript スクリプト エンジン、Dynamic Host Configuration Protocol、Chakra スクリプト エンジンなどの同社製品で確認されたセキュリティ問題を修正しています。これらの脆弱性のカバレッジについては、SNORTⓇ のブログ記事
をご覧ください。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 17 件の脆弱性を公開しました。詳細は次のとおりです。
CVE-2019-0592 は Chakra スクリプト エンジンで発生するメモリ破損の脆弱性です。権限昇格を許可する可能性があります。この脆弱性は、スクリプト エンジンがメモリ内オブジェクトを処理する方法に起因します。脆弱性をエクスプロイトするには、Microsoft Edge Web ブラウザのユーザを誘導し、悪意のあるページにアクセスさせる必要があります。
CVE-2019-0763 はリモート コード実行の脆弱性で、Internet Explore がメモリ内オブジェクトに不適切にアクセスする際に発現します。この脆弱性は、Internet Explorer のユーザを誘導し、悪意のあるページにアクセスさせることでエクスプロイトできる可能性があります。
CVE-2019-0756 は、Microsoft XML Core Services パーサーで発生するリモート コード実行の脆弱性です。この脆弱性は、Web ブラウザから MSXML を呼び出すよう細工された Web サイトにユーザを誘導することでエクスプロイトできる可能性があります。不正な Web サイトをユーザが開くと、攻撃者によって悪意のあるコードが実行され、システムが乗っ取られる危険性があります。
CVE-2019-0609、CVE-2019-0639、CVE-2019-0680、CVE-2019-0769、CVE-2019-0770、CVE-2019-0771、CVE-2019-0773は、すべて Microsoft スクリプト エンジンで発生するメモリ破損の脆弱性です。Microsoft Edge がメモリ内オブジェクトを処理する方法に起因します。これらの脆弱性がエクスプロイトされてメモリ破損が引き起こされると、現在のユーザの権限で任意のコードを実行される危険性があります。この脆弱性を引き起こすには、Edge ユーザに悪意のある Web ページへアクセスさせる必要があります。
CVE-2019-0784 はリモード コード実行の脆弱性です。ActiveX Data Objects(ADO)がメモリ内オブジェクトを処理する方法に起因します。この脆弱性は、Internet Explorer のユーザを騙し不正な Web サイトにアクセスさせることでエクスプロイトできる可能性があります。それ以外にもは、Internet Explore のレンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口も考えられます。
CVE-2019-0603 は、Windows Deployment Services TFTP サーバで発生するリモート コード実行の脆弱性です。この脆弱性はサーバがメモリ内オブジェクトを処理する方法に起因しています。脆弱性がエクスプロイトされると、標的のシステムで権限昇格が行われ、任意のコードが実行される危険性があります。
CVE-2019-0697、CVE-2019-0698、CVE-2019-0726 は Windows DHCP クライアントで発生するリモード コード実行の脆弱性です。細工された DHCP レスポンスをクライアントが受信した際に、標的のマシンで任意のコードが実行される危険性があります。
CVE-2019-0666 および CVE-2019-0667 は、VBScript エンジンで発生する脆弱性で、同エンジンがメモリ内オブジェクトを処理する方法に起因します。これらの脆弱性がエクスプロイトされてメモリ破損が引き起こされると、現在のユーザの権限で任意のコードを実行される危険性があります。攻撃者が作成した Web サイトにユーザが Internet Explore 経由でアクセスすると、脆弱性がエクスプロイトされる可能性があります。それ以外にも、Internet Explore のレンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口も考えられます。
「重要」と評価された脆弱性
このリリースには、「重要」と評価された 45 件の脆弱性も含まれています。
- CVE-2019-0784
- CVE-2019-0611
- CVE-2019-0612
- CVE-2019-0614
- CVE-2019-0617
- CVE-2019-0665
- CVE-2019-0678
- CVE-2019-0682
- CVE-2019-0683
- CVE-2019-0689
- CVE-2019-0690
- CVE-2019-0692
- CVE-2019-0693
- CVE-2019-0694
- CVE-2019-0695
- CVE-2019-0696
- CVE-2019-0701
- CVE-2019-0702
- CVE-2019-0703
- CVE-2019-0704
- CVE-2019-0746
- CVE-2019-0748
- CVE-2019-0754
- CVE-2019-0755
- CVE-2019-0757
- CVE-2019-0759
- CVE-2019-0761
- CVE-2019-0762
- CVE-2019-0765
- CVE-2019-0766
- CVE-2019-0767
- CVE-2019-0768
- CVE-2019-0772
- CVE-2019-0774
- CVE-2019-0775
- CVE-2019-0776
- CVE-2019-0778
- CVE-2019-0779
- CVE-2019-0780
- CVE-2019-0782
- CVE-2019-0783
- CVE-2019-0797
- CVE-2019-0798
- CVE-2019-0808
- CVE-2019-0809
- CVE-2019-0821
「警告」と評価された脆弱性
今回「警告」と評価された唯一の脆弱性は CVE-2019-0816 です。これは Azure SSH Keypairs で確認されたセキュリティ機能回避の脆弱性です。
注意
今回「注意」と評価された唯一の脆弱性は CVE-2019-0777 です。これは Team Foundation で確認されたクロスサイト スクリプティングの脆弱性です。
カバレッジ
Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の SNORT?ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
Snort ルール:45142、45143、46554、46555、48051、48052、49172、49173、49364 – 49369、49371、49372、49378 – 49395、49400 – 49403
Tags:本稿は 2019年3月12日に Talos Group
