Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / Microsoft セキュリティ更新プログラム(月例):2019 年 9 月の脆弱性開示と Snort カバレッジ

2019年9月20日 Leave a Comment
脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2019 年 9 月の脆弱性開示と Snort カバレッジ

1 min read



Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の同社製品に含まれるさまざまな脆弱性を公開しました。今月のセキュリティ更新プログラムでは 85 件の新たな脆弱性が修正されています。そのうち 19 件が「緊急」、65 件が「重要」、1 件が「警告」と評価されています。また、Adobe Flash Player の最新バージョンに関する重要なアドバイザリも出されました。

今月のセキュリティ更新プログラムでは、Jet Database Engine や Hyper-V ハイパーバイザなどの Microsoft 製品・サービスで確認されたセキュリティ問題が修正されています。

これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事popup_iconをご覧ください。

「緊急」と評価された脆弱性

Microsoft 社は今月、「緊急」と評価された 19 件の脆弱性を公開しました。詳細は次のとおりです。

CVE-2019-1291popup_iconCVE-2019-1290popup_iconCVE-2019-0788popup_icon および CVE-2019-0787popup_icon は、いずれも Windows リモート デスクトップ プロトコル(RDP)で確認されたリモート コード実行の脆弱性です。これらの脆弱性は、細工された要求をクライアントの RDP ソフトウェアに送信することでエクスプロイトされる可能性があります。攻撃者によるエクスプロイトが成功すると、任意のコードを実行される危険性があります。この脆弱性は認証の前段階に存在するため、エクスプロイトにはユーザの操作が必要ありません。

CVE-2019-1257popup_icon、CVE-2019-1296popup_icon および CVE-2019-1295popup_icon は、Microsoft SharePoint で確認されたリモート コード実行の脆弱性です。SharePoint はドキュメント マネージャとストレージ システムの機能を兼ね備えています。ソフトウェア内の一部の API が安全でない方法で公開されているため、細工されたファイルをユーザが開くと上記の脆弱性をエクスプロイトされる危険性があります。脆弱性のエクスプロイトに成功した攻撃者は、SharePoint アプリケーション プールおよび SharePoint サーバ ファーム アカウントで任意コードを実行できる可能性があります。

CVE-2019-0719popup_icon および CVE-2019-0721popup_icon は、Windows Hyper-V ハイパーバイザで確認されたリモート コード実行の脆弱性です。ゲスト OS 上の認証ユーザからの入力が、ホスト サーバ上の Hyper-V ネットワーク スイッチにより正しく検証されないことに起因しています。細工されたアプリケーションがゲスト OS 上で実行されると、脆弱性がエクスプロイトされ、Hyper-V のホスト OS 上で任意コードを実行される危険性があります。

CVE-2019-1138popup_iconCVE-2019-1217popup_iconCVE-2019-1237popup_icon、CVE-2019-1298popup_icon および CVE-2019-1300popup_icon は、Chakra Scripting Engine で確認されたリモート コード実行の脆弱性です。Microsoft Edge Web ブラウザ内でエンジンがメモリ内のオブジェクトを処理しようとする際に発現します。脆弱性がエクスプロイトされるとシステム メモリが破壊され、任意コードを実行される危険性があります。これらの脆弱性は、攻撃者が作成した Web サイトまたは悪意のある広告を Microsoft Edge でクリックするだけでエクスプロイトされる可能性があります。CVE-2019-1221popup_icon は類似した脆弱性ですが、Internet Explorer のスクリプト エンジンにのみ存在します。

CVE-2019-1208popup_icon および CVE-2019-1236popup_icon は VBScript エンジンの脆弱性で、エンジンがメモリ内オブジェクトを処理する方法に起因します。脆弱性のエクスプロイト シナリオとしては、Internet Explorer のユーザを不正な Web ページに誘導する、などの手口が考えられます。Internet Explore のレンダリング エンジンを使用するアプリケーションや Microsoft Office ドキュメントに、「初期化しても安全」と装った ActiveX コントロールを組み込む手口も考えられます。

CVE-2019-1280popup_icon は Microsoft Windows で確認された、任意コードの実行を許す可能性のある脆弱性です。細工された .LNK ファイルを騙されたユーザが開くと、エクスプロイトされる危険性があります。エクスプロイトに成功すると、ローカル ユーザと同じ権限を攻撃者が取得する可能性があります。

CVE-2019-1306popup_icon は、Azure DevOps Server および Team Foundation Server で確認された、リモート コード実行の脆弱性です。特定の入力をソフトウェアが適切に検証できないことに起因しています。脆弱性のエクスプロイト手段としては、細工されたファイルをユーザに送り付け、該当バージョンの .NET Framework や Visual Studio で開くように仕向ける手口が考えられます。他にも、電子メールに添付された不正ファイルをユーザに開かせる手口なども考えられます。攻撃者がエクスプロイトに成功した場合、ローカル ユーザと同じ権限で任意コードを実行できる可能性があります。

「重要」と評価された脆弱性

今月のセキュリティ更新プログラムでは、65 件の脆弱性が「重要」と評価されました。今回はそのうちの 5 件に注目します。

CVE-2019-1214popup_icon、CVE-2019-1215popup_icon および CVE-2019-1279popup_icon は、Windows 共通ログ ファイル システム(CLFS)ドライバーで確認された特権昇格の脆弱性です。攻撃者により脆弱性がエクスプロイトされると、特定のプロセスを昇格特権で実行される危険性があります。脆弱性をエクスプロイトするためには、攻撃者が標的システムに直接ログオンし、細工したアプリケーションを実行する必要があります。Microsoft 社からの情報によると、これらの脆弱性のエクスプロイトは実際に確認されています。

CVE-2019-1216popup_icon および CVE-2019-1219popup_icon は DirectX の脆弱性です。攻撃者がエクスプロイトに成功すると、カーネル メモリの内容を把握し、追加攻撃への足がかりとして利用する可能性があります。脆弱性は、DirectX がメモリ内のオブジェクトを適切に処理できないことに起因しています。

「重要」と評価された他の脆弱性は次のとおりです。

 

「警告」と評価された脆弱性

「警告」と評価された脆弱性は 1 件(CVE-2019-1259popup_icon)で、Microsoft SharePoint で確認されたスプーフィングの脆弱性です。

カバレッジ

Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。Firepower のお客様は最新のルールセットを利用できるよう、SRU を更新してください。オープン ソースの Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、最新状態を維持できます。

今回の脆弱性に関連する Snort ルール:51436 ~ 51438、51445、51446、51449 ~51452、51454 ~ 51457、51463 ~ 51465、51479 ~ 51483

 

本稿は 2019年9月10日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday — Sept. 2019: Vulnerability disclosures and Snort coveragepopup_icon」の抄訳です。

Authors

Avatar

TALOS Japan

コメントを書く