Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。今月のセキュリティ更新プログラムでは 74 件の新たな脆弱性が修正されています。そのうち 16 件が「緊急」、58 件が「重要」と評価されています。Adobe Flash Player のセキュリティ更新プログラムに関する重要なアドバイザリも同時に公開されました。
今月のセキュリティ更新プログラムでは、Chakra スクリプト エンジン、Microsoft Office、Windows 10 などの同社製品で確認されたセキュリティ問題を修正しています。修正内容の詳細は、こちらの Snort ブログ記事をご覧ください。記事では、関連する新しい Snort ルールもすべて記載しています。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 16 件の脆弱性を公開しました。今回ご紹介するのは以下の 4 件です。
CVE-2019-0753 は、Microsoft スクリプト エンジンで確認されたリモート コード実行の脆弱性です。Internet Explorer でメモリ内オブジェクトが適切に処理されないことに起因しています。この脆弱性により攻撃者がシステムを破損させ、現在のユーザと同じ権限を取得することで、リモートから任意コードを実行できる可能性があります。脆弱性をエクスプロイトするには、細工された Web サイトを Internet Explorer でユーザに開かせる必要があります。それ以外にも、Internet Explore のレンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口が考えられます。
CVE-2019-0790、CVE-2019-0791、CVE-2019-0792、CVE-2019-0793 および CVE-2019-0795 は、すべてリモート コード実行の脆弱性です。Microsoft XML コア サービスの MSXML パーサーがユーザ入力を処理する際に発現します。攻撃者がエクスプロイトに成功すると、システムを乗っ取られる可能性があります。攻撃者が作成した Web ページ(悪意のある MSXML を含む)にアクセスすると、脆弱性をエクスプロイトされる可能性があります。
その他の「緊急」と評価された脆弱性は次のとおりです。
- CVE-2019-0739
- CVE-2019-0786
- CVE-2019-0806
- CVE-2019-0810
- CVE-2019-0812
- CVE-2019-0829
- CVE-2019-0845
- CVE-2019-0853
- CVE-2019-0860
- CVE-2019-0861
「重要」と評価された脆弱性
今月のセキュリティ更新プログラムでは、58 件の脆弱性が「重要」と評価されました。今回ご紹介するのは以下の 8 件です。
CVE-2019-0732 は、複数バージョンの Windows OS で確認された保護機能バイパスの脆弱性です。攻撃者が Windows Device Guard を回避できる危険性があります。この脆弱性は、LUAFV ドライバへの呼び出しが Windows で適切に処理されないことに起因しています。攻撃者は、ローカル マシンにアクセスして悪意のあるプログラムを実行することで脆弱性をエクスプロイトできる可能性があります。エクスプロイトに成功すると User Mode Code Integrity(UMCI)ポリシーが回避されます。
CVE-2019-0752 は、Microsoft スクリプト エンジンで確認されたリモート コード実行の脆弱性です。Internet Explorer でメモリ内オブジェクトが適切に処理されないことに起因しています。この脆弱性により攻撃者がシステムを破損させ、現在のユーザと同じ権限を取得することで、リモートから任意コードを実行できる可能性があります。脆弱性をエクスプロイトするには、細工された Web サイトを Internet Explorer でユーザに開かせる必要があります。それ以外にも、Internet Explore のレンダリング エンジンをホストするアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口が考えられます。
CVE-2019-0790 および CVE-2019-0795 はリモート コード実行の脆弱性です。Microsoft XML コア サービスの MSXML パーサーがユーザ入力を処理する際に発現します。攻撃者がエクスプロイトに成功すると、システムを乗っ取られる可能性があります。攻撃者が作成した Web ページ(悪意のある MSXML を含む)にアクセスすると、脆弱性をエクスプロイトされる可能性があります。
CVE-2019-0801 は、Microsoft Office で確認されたリモート コード実行の脆弱性です。PowerPoint または Excel ファイルを開く際に発現します。Excel または PowerPoint ファイルをダウンロードするように細工された URL/ファイルをユーザがクリックすると、脆弱性をエクスプロイトされる可能性があります。
CVE-2019-0803 および CVE-2019-0859 は、特定バージョンの Windows で確認された特権昇格の脆弱性です。Win32k コンポーネントがメモリ内のオブジェクトを正しく処理しないことに起因しています。エクスプロイトされた場合、攻撃者がカーネル モードで任意コードを実行できる危険性があります。システムにログインして細工したアプリケーションを実行することで、脆弱性をエクスプロイトされる可能性があります。
CVE-2019-0822 はリモート コード実行の脆弱性です。Microsoft Graphics コンポーネントがメモリ内のオブジェクトを処理する方法に起因しています。ユーザを誘導して細工されたファイルを開かせることで、脆弱性をエクスプロイトされる可能性があります。エクスプロイトに成功すると、現在のユーザの権限で任意コードが実行可能になります。
その他の重要な脆弱性は次のとおりです。
-
- CVE-2019-0685
- CVE-2019-0688
- CVE-2019-0730
- CVE-2019-0731
- CVE-2019-0735
- CVE-2019-0764
- CVE-2019-0794
- CVE-2019-0796
- CVE-2019-0802
- CVE-2019-0805
- CVE-2019-0814
- CVE-2019-0815
- CVE-2019-0817
- CVE-2019-0823
- CVE-2019-0824
- CVE-2019-0825
- CVE-2019-0826
- CVE-2019-0827
- CVE-2019-0828
- CVE-2019-0830
- CVE-2019-0831
- CVE-2019-0833
- CVE-2019-0835
- CVE-2019-0836
- CVE-2019-0837
- CVE-2019-0838
- CVE-2019-0839
- CVE-2019-0840
- CVE-2019-0841
- CVE-2019-0842
- CVE-2019-0844
- CVE-2019-0846
- CVE-2019-0847
- CVE-2019-0848
- CVE-2019-0849
- CVE-2019-0851
- CVE-2019-0856
- CVE-2019-0857
- CVE-2019-0858
- CVE-2019-0862
- CVE-2019-0866
- CVE-2019-0867
- CVE-2019-0868
- CVE-2019-0869
- CVE-2019-0870
- CVE-2019-0871
- CVE-2019-0874
- CVE-2019-0876
- CVE-2019-0877
- CVE-2019-0875
- CVE-2019-0879
- CVE-2019-0813
カバレッジ
Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の SNORT?ルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
本稿は 2019年4月9日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — April 2019: Vulnerability disclosures and Snort coverage」の抄訳です。