Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の同社製品に含まれるさまざまな脆弱性を公開しました。最新のセキュリティ更新プログラムでは 60 件の脆弱性が公開されています。そのうち 9 件は「緊急」、他の 51 件は「重要」と評価されています。
Microsoft 社製の各種サービスとソフトウェア、JavaScript エンジン「Chakra」、Windows OS、および SharePoint ソフトウェアで発見されたセキュリティ脆弱性が修正されています。
これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事をご覧ください。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 9 件の脆弱性を公開しました。今回ご紹介するのは以下の 8 件です。
CVE-2019-1333 は、リモート デスクトップ サービス(RDP)のクライアント側で確認されたリモートコード実行の脆弱性です。悪意のあるサーバにユーザがアクセスすると発現します。具体的なエクスプロイト方法としては、攻撃者が制御する悪意のあるサーバに被害者を誘導するソーシャルエンジニアリングや中間者攻撃などの手口が考えられます。攻撃が正当なサーバに侵入して悪意のあるコードを忍ばせ、そこに被害者を誘導する場合もあります。攻撃者がエクスプロイトに成功すると、不正なサーバに接続した被害者のマシンで任意コードを実行できる可能性があります。
CVE-2019-1238 および CVE-2019-1239 は VBScript エンジンの脆弱性で、エンジンがメモリ内オブジェクトを処理する方法に起因しています。これらの脆弱性がエクスプロイトされてメモリ破損が引き起こされると、任意のコードをリモートで実行される危険性があります。Internet Explorer のユーザが騙され、不正な Web サイトにアクセスすると、各脆弱性をエクスプロイトされる可能性があります。それ以外にも、Internet Explore のレンダリング エンジンを使用するアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込む手口が考えられます。
CVE-2019-1307、CVE-2019-1308、CVE-2019-1335 および CVE-2019-1366 はいずれも、Microsoft Edge ブラウザー用の JavaScript エンジン「Chakra」で確認されたメモリ破損の脆弱性です。これらの脆弱性がエクスプロイトされてメモリ破損が引き起こされると、任意のコードをリモートで実行される危険性があります。この脆弱性を引き起こすには、Edge ユーザに不正な Web ページへアクセスさせる必要があります。
CVE-2019-1372 は Azure Stack で確認された特権昇格の脆弱性です。Azure App Service がメモリをバッファーにコピーする前に、バッファーの長さが適切に検証されないことに起因しています。攻撃者が脆弱性のエクスプロイトに成功すると、システムで実行中の機能をコピーし、NT AUTHORITY/system の権限でコードを実行できる危険性があります。攻撃者はこれによりサンドボックスを迂回できる可能性があります。
CVE-2019-1060 は、Microsoft XML Core Services(MSXML)において任意コードがリモートで実行される脆弱性です。
「重要」と評価された脆弱性
今回のリリースには、「重要」と評価された 51 件の脆弱性も含まれています。
- CVE-2019-0608
- CVE-2019-1070
- CVE-2019-1166
- CVE-2019-1230
- CVE-2019-1311
- CVE-2019-1313
- CVE-2019-1314
- CVE-2019-1315
- CVE-2019-1316
- CVE-2019-1317
- CVE-2019-1318
- CVE-2019-1319
- CVE-2019-1320
- CVE-2019-1321
- CVE-2019-1322
- CVE-2019-1323
- CVE-2019-1325
- CVE-2019-1326
- CVE-2019-1327
- CVE-2019-1328
- CVE-2019-1329
- CVE-2019-1330
- CVE-2019-1331
- CVE-2019-1334
- CVE-2019-1336
- CVE-2019-1337
- CVE-2019-1338
- CVE-2019-1339
- CVE-2019-1340
- CVE-2019-1341
- CVE-2019-1342
- CVE-2019-1343
- CVE-2019-1344
- CVE-2019-1345
- CVE-2019-1346
- CVE-2019-1347
- CVE-2019-1356
- CVE-2019-1357
- CVE-2019-1358
- CVE-2019-1359
- CVE-2019-1361
- CVE-2019-1362
- CVE-2019-1363
- CVE-2019-1364
- CVE-2019-1365
- CVE-2019-1368
- CVE-2019-1369
- CVE-2019-1371
- CVE-2019-1375
- CVE-2019-1376
- CVE-2019-1378
カバレッジ
Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。Firepower のお客様は最新のルールセットを利用できるよう、SRU を更新してください。オープン ソースの Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、最新状態を維持できます。
今回該当する Snort ルールは、51733 ~ 51736、51739 ~ 51742、および 51781 ~ 51794 です。
本稿は 2019年10月8日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — Oct. 2019: Vulnerability disclosures and Snort coverage」の抄訳です。