Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。今月のセキュリティ更新プログラムでは 77 件の新たな脆弱性が修正されています。そのうち 16 件が「緊急」、60 件が「重要」、1 件が「警告」と評価されています。
今月のセキュリティ更新プログラムでは、Chakra スクリプト エンジン、Internet Explorer、Windows Server の DHCP サービスなどの同社製品で確認されたセキュリティ問題を修正しています。修正内容の詳細は、こちらの SNORT® ブログ記事をご覧ください。記事では、関連する新しい Snort ルールもすべて記載しています。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 16 件の脆弱性を公開しました。今回ご紹介するのは以下の 9 件です。
CVE-2019-0785は、Windows Server の DHCP サービスで確認されたメモリ破損の脆弱性です。この脆弱性は、細工されたパケットが DHCP フェールオーバー サーバに送信された場合に発現します。細工されたパケットをフェールオーバー モードで送信することで、攻撃者は脆弱性をエクスプロイトできる可能性性があります。エクスプロイトされた場合、DHCP フェールオーバー サーバで任意のコードを実行されたり、DHCP サーバを応答不能にされたりする可能性があります。
CVE-2019-1001 および CVE-2019-1004 は、いずれも Microsoft 社製ブラウザに存在するメモリ破損の脆弱性です。スクリプト エンジンがメモリ内オブジェクトを適切に処理できないことに起因しています。これらの脆弱性が引き起こすメモリ破損によって、攻撃者は現行ユーザのコンテキストでコードを実行できるようになります。Internet Explorer のユーザが騙され、不正な Web サイトにアクセスすると、各脆弱性をエクスプロイトされる可能性があります。それ以外にも、Internet Explore のレンダリング エンジンを使用するアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口が考えられます。
CVE-2019-1062、CVE-2019-1092、CVE-2019-1103、CVE-2019-1106 および CVE-2019-1107 は、すべて Chakra スクリプト エンジンで発見されたメモリ破損の脆弱性です。攻撃者に任意コードの実行を許す危険性があります。Microsoft Edge のユーザが騙され、細工された悪意のある Web ページにアクセスすると、これらの脆弱性をエクスプロイトされる可能性があります。
CVE-2019-1113 は .NET Framework で確認されたリモート コード実行の脆弱性です。この脆弱性は、.NET Framework ソフトウェアがファイルのソース マークアップを検証する方法に起因しています。脆弱性のエクスプロイト手段としては、細工されたファイルをユーザに送り付け、該当バージョンの .NET Framework で開くように仕向ける手口などが考えられます。脆弱性がエクスプロイトされると、現行ユーザのコンテキストで任意コードを実行される危険性があります。
その他の「緊急」と評価された脆弱性は次のとおりです。
「重要」と評価された脆弱性
今月のセキュリティ更新プログラムでは、60 件の脆弱性が「重要」と評価されました。今回は そのうち 2 件に注目します。
CVE-2018-15664 は、Docker で確認された特権昇格の脆弱性です。Microsoft Azure IoT エッジ デバイスおよび Azure Kubernetes サービスに影響を及ぼします。この脆弱性により、コンテナが稼働しているホスト OS 上で、悪意のある(または侵害された)コンテナが完全な読み取り/書き込みアクセス権を取得できるようになります。脆弱性の修正作業は今も続いているため、Microsoft 社は、Docker の copy コマンドを AKS クラスタと Azure IoT デバイスで使用しないことを推奨しています。
CVE-2019-1132 は、Windows で確認された権限昇格の脆弱性です。Win32k コンポーネントでメモリ内オブジェクトが適切に処理されないことに起因しています。エクスプロイトされた場合、攻撃者がカーネル モードで任意コードを実行できる危険性があります。Microsoft 社は、この脆弱性のエクスプロイト ケースが実際に確認されたことを明らかにしています。
その他の重要な脆弱性は次のとおりです。
- CVE-2019-0811
- CVE-2019-0865
- CVE-2019-0880
- CVE-2019-0887
- CVE-2019-0962
- CVE-2019-0966
- CVE-2019-0975
- CVE-2019-0999
- CVE-2019-1037
- CVE-2019-1067
- CVE-2019-1068
- CVE-2019-1071
- CVE-2019-1073
- CVE-2019-1074
- CVE-2019-1076
- CVE-2019-1077
- CVE-2019-1079
- CVE-2019-1082
- CVE-2019-1083
- CVE-2019-1084
- CVE-2019-1085
- CVE-2019-1086
- CVE-2019-1087
- CVE-2019-1088
- CVE-2019-1089
- CVE-2019-1090
- CVE-2019-1091
- CVE-2019-1093
- CVE-2019-1094
- CVE-2019-1095
- CVE-2019-1096
- CVE-2019-1097
- CVE-2019-1098
- CVE-2019-1099
- CVE-2019-1100
- CVE-2019-1101
- CVE-2019-1108
- CVE-2019-1109
- CVE-2019-1110
- CVE-2019-1111
- CVE-2019-1112
- CVE-2019-1116
- CVE-2019-1117
- CVE-2019-1118
- CVE-2019-1119
- CVE-2019-1120
- CVE-2019-1121
- CVE-2019-1122
- CVE-2019-1123
- CVE-2019-1124
- CVE-2019-1126
- CVE-2019-1127
- CVE-2019-1128
- CVE-2019-1129
- CVE-2019-1130
- CVE-2019-1134
- CVE-2019-1136
- CVE-2019-1137
「警告」と評価された脆弱性
「警告」レベルの脆弱性は、Windows イベント マネージャで発見された情報漏えいの脆弱性(CVE-2019-1075)の 1 件です。
カバレッジ
Talos では、今回公開された脆弱性のエクスプロイト試行を検出できるよう、下記の SNORTⓇルールをリリースします。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソース Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
Snort ルール:45142、45143、46548、46549、49380、49381、50198、50199、50662 ~ 50683
本稿は 2019年7月9日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — July 2019: Vulnerability disclosures and Snort coverage」の抄訳です。