Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された脆弱性についての情報と更新プログラムを公開しました。今回の脆弱性は 49 件で、そのうち 8 件が「緊急」と評価されています。
今月のセキュリティ更新プログラムは、中核的な暗号化コンポーネントで確認された 2 件の脆弱性が含まれるため特に重要です。この 2 件はすべてのバージョンの Windows に影響を与えます。CVE-2020-0601 の脆弱性では、攻撃者が暗号化を利用して悪意のある実行可能ファイルに署名し、信頼できる作成者からのものとして偽装できる可能性があります。被害者にとっては、不正な実行可能ファイルかどうかを判断する術がありません。サイバーセキュリティ業界のジャーナリスト、Brian Krebs 氏の指摘によれば、脆弱性があまりに深刻であるため、公開に先立ち Microsoft 社が密かに米軍の PC に更新プログラムを適用したほどです。
1 月の更新プログラムは、Windows 7 と Windows Server 2008/2008 R2 にとって最後の無償アップデートになります。
これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事をご覧ください。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 8 件の脆弱性を公開しました。詳細は次のとおりです。
CVE-2020-0603、CVE-2020-0605、CVE-2020-0606 および CVE-2020-0646 はすべて、.NET および ASP.NET Core ソフトウェアで発見されたリモートコード実行の脆弱性です。影響を受けるバージョンの .NET または ASP.NET Core を使用している際に、細工された不正ファイルをユーザが開くと、これら 4 件の脆弱性すべてをエクスプロイトされる危険性があります。エクスプロイトに成功すると、攻撃者は現行ユーザの権限で任意コードを実行できる可能性があります。いずれの脆弱性も、ソフトウェアがメモリ内のオブジェクトを処理する方法に起因します。
CVE-2020-0609 および CVE-2020-0610 は、Windows リモート デスクトップ プロトコルのゲートウェイサーバで発見されたリモートコード実行の脆弱性です。細工された要求を RDP 経由で標的の RDP ゲートウェイに送信する手口により、これらの脆弱性をエクスプロイトされる可能性があります。脆弱性のエクスプロイトには、ユーザ側の操作も事前認証も必要ありません。
CVE-2020-0611 は、Windows リモート デスクトップ プロトコルのクライアントで発見されたリモートコード実行の脆弱性です。細工されたサーバをユーザが訪れると、脆弱性をエクスプロイトされる可能性があります。エクスプロイトには、不正ファイルまたは中間者攻撃によりユーザを悪意のあるサーバに誘導する必要があります。エクスプロイトに成功すると、被害者の PC 上で任意コードを実行される危険性があります。
CVE-2020-0640 は、Microsoft Internet Explorer で確認されたメモリ破損の脆弱性です。Internet Explorer がメモリ内オブジェクトを処理する方法に起因します。攻撃者はこの脆弱性を利用して被害者のシステムを破壊し、その結果として任意コードを実行できる危険性があります。攻撃者が管理する不正な Web ページに Internet Explorer でアクセスした場合、脆弱性の影響を受ける可能性があります。
「重要」と評価された脆弱性
今月のセキュリティ更新プログラムでは 41 件の脆弱性が「重要」と評価されました。今回はそのうちの 3 件に注目します。
CVE-2020-0601 は Windows CryptoAPI で発見されたスプーフィングの脆弱性です。特定のコンポーネント(crypt32.dll)で楕円曲線暗号(CEE)証明書が適切に検証されないことに起因します。攻撃者は、この脆弱性を利用してコードサイニング証明書をスプーフィングし、ファイルに密かに署名することで、信頼できる送信元からのものとしてファイルを偽装できる可能性があります。あるいは中間者攻撃に脆弱性が利用され、機密情報を復号される危険性もあります。
CVE-2020-0616 は、Windows がハードリンクを処理する方法に起因するサービス妨害の脆弱性です。脆弱性のエクスプロイトには、被害者の PC にログインして脆弱性をエクスプロイトし、細工されたアプリケーションを実行してシステムファイルを上書きできる状態にする必要があります。
CVE-2020-0654 は、Android デバイス向け OneDrive アプリで確認された脆弱性です。特定のセキュリティ機能を迂回される可能性があります。具体的には、OneDrive ファイルへのリンクにユーザが特定の方法でアクセスすると、アプリのパスコードまたは指紋認証を攻撃者がバイパスできる可能性があります。
その他の「重要」と評価された脆弱性は次のとおりです。
- CVE-2020-0602
- CVE-2020-0607
- CVE-2020-0608
- CVE-2020-0612
- CVE-2020-0613
- CVE-2020-0614
- CVE-2020-0615
- CVE-2020-0617
- CVE-2020-0620
- CVE-2020-0621
- CVE-2020-0622
- CVE-2020-0623
- CVE-2020-0624
- CVE-2020-0625
- CVE-2020-0626
- CVE-2020-0627
- CVE-2020-0628
- CVE-2020-0629
- CVE-2020-0630
- CVE-2020-0631
- CVE-2020-0632
- CVE-2020-0633
- CVE-2020-0634
- CVE-2020-0635
- CVE-2020-0636
- CVE-2020-0637
- CVE-2020-0638
- CVE-2020-0639
- CVE-2020-0641
- CVE-2020-0642
- CVE-2020-0643
- CVE-2020-0644
- CVE-2020-0647
- CVE-2020-0650
- CVE-2020-0651
- CVE-2020-0652
- CVE-2020-0653
- CVE-2020-0656
カバレッジ
Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
該当の Snort ルールは 52593 ~ 51596、52604、52605 です。
本稿は 2020年1月14日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — Jan. 2020: Vulnerability disclosures and Snort coverage」の抄訳です。