Microsoft セキュリティ更新プログラム(月例):2019 年 12 月の脆弱性開示と Snort カバレッジ
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された脆弱性についての情報と更新プログラムを公開しました。今月に公開、修正された脆弱性は 25 件で、そのうち 2 件が「緊急」と評価されています。
今月の修正プログラムは、同社の各種サービスとソフトウェア(リモート デスクトップ プロトコル、Hyper-V、複数の Microsoft Office 製品など)で発見されたセキュリティ問題を修正しています。
これらの脆弱性の一部に対しては、新しい SNORTⓇ ルール
によるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事をご覧ください。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 2 件の脆弱性を公開しました。詳細は次のとおりです。
CVE-2019-1468 は、Windows フォントライブラリで確認された、リモートコード実行の脆弱性です。一部の埋め込みフォントをライブラリが適切に処理できないことに起因しています。細工されたフォントを埋め込んだ Web ページに被害者が騙されてアクセスすると、脆弱性をエクスプロイトされる可能性があります。細工されたフォントファイルを開いた場合にエクスプロイトされる可能性もあります。
CVE-2019-1471 は、Windows Hyper-V ハイパーバイザにおいてリモートでコードが実行される脆弱性です。Hyper-V では、ゲスト OS 上で認証されたユーザからの入力を適切に検証できないことがあります。細工されたアプリケーションがゲスト OS 上で実行されると、脆弱性がエクスプロイトされ、Hyper-V のホスト OS 上で任意コードを実行される危険性があります。
「重要」と評価された脆弱性
今月のセキュリティ更新プログラムでは 23 件の脆弱性が「重要」と評価されました。今回はそのうちの 3 件に注目します。
CVE-2019-1458 は、Windows の Win32k コンポーネントにおける特権昇格の脆弱性です。システムにログインし、細工されたアプリケーションを実行してシステムを完全に乗っ取り、任意のコードをカーネルモードで実行可能な状態にすることで、脆弱性をエクスプロイトできる可能性があります。Microsoft 社によれば、脆弱性のエクスプロイトが実際に確認されています。
CVE-2019-1469 は Windows で確認された情報漏えいの脆弱性です。win32k コンポーネントがカーネル情報の提供に失敗した場合に発現します。脆弱性がエクスプロイトされると、初期化されていないメモリとカーネルメモリの内容が取得され、追加の攻撃で使用される危険性があります。
CVE-2019-1485 は VBScript エンジンで確認された、リモートコード実行の脆弱性です。脆弱性がエクスプロイトされてメモリ破損が引き起こされると、現在のユーザの権限で任意コードを実行される危険性があります。この脆弱性をエクスプロイトするには、細工した Web サイトに Internet Explorer ユーザを誘導してアクセスさせる必要があります。それ以外にも、Internet Explore のレンダリング エンジンを使用するアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込み、被害者が開くよう誘導する手口が考えられます。
その他の「重要」と評価された脆弱性は次のとおりです。
カバレッジ
Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
関連する新しい Snort ルール:52402、52403、52410、52411、52419、52420
Tags:本稿は 2019年12月10日に Talos Group
