Cisco Japan Blog / 脅威リサーチ / Microsoft セキュリティ更新プログラム（月例）：2020 年 2 月の脆弱性開示と Snort カバレッジ

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された脆弱性についての情報と更新プログラムを公開しました。今回の脆弱性は 98 件で、そのうち 12 件が「緊急」、84 件が「重要」と評価されています。重大度が割り当てられていないバグも 2 つあります。

今月のセキュリティ更新プログラムには、Windows カーネル、Windows スクリプトエンジン、リモート デスクトップ プロトコルなどのソフトウェアや機能に対する更新が含まれています。Microsoft 社は、Adobe Flash Player に対する更新プログラムを対象とした重要なアドバイザリも提供しています。

これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが、本日 Talos から提供されています。こちらを参照してください。

「緊急」と評価された脆弱性

Microsoft 社は今月、「緊急」と評価された 12 件の脆弱性を公開しました。詳細は次のとおりです。

CVE-2020-0673、CVE-2020-0674、CVE-2020-0710、CVE-2020-0711、CVE-2020-0712、CVE-2020-0713、CVE-2020-0767 はすべて、Microsoft スクリプトエンジンにおけるメモリ破損の脆弱性です。このスクリプトエンジンによって、Internet Explorer がメモリ内オブジェクトを処理する方法が制御されています。これらの脆弱性がエクスプロイトされてメモリ破損が発生すると、任意のコードが実行される危険性があります。この脆弱性を突くように巧妙に細工された Internet Explorer から、攻撃者が制御する Web ページにアクセスすることで、脆弱性がトリガーされる恐れがあります。それ以外にも、Internet Explore のレンダリングエンジンを使用するアプリケーションや Microsoft Office ドキュメントに、「安全に初期化可能」と装った ActiveX コントロールを組み込み、被害者がファイルを開くよう誘導する手口が考えられます。

CVE-2020-0681 および CVE-2020-0734 は、リモート デスクトップ プロトコルにおける脆弱性で、ユーザが悪意のあるサーバに接続した際にリモートからコードが実行される恐れがあります。ソーシャルエンジニアリングや中間者攻撃の手法を利用し、攻撃者がホストしているサーバにユーザを接続させることでこれらの脆弱性をエクスプロイトできます。

CVE-2020-0662 は、Windows 10 および、Windows Server の一部のバージョンにおけるリモートコード実行の脆弱性です。メモリ内オブジェクトを処理する方法にバグが存在しています。この脆弱性がエクスプロイトされると、被害を受けたマシンで攻撃者の権限が昇格し、任意のコードが実行される恐れがあります。攻撃にはドメインユーザアカウントが必要で、取得されると巧妙に細工された要求が作成されます。

CVE-2020-0729 は、Windows におけるリモートコード実行の脆弱性です。Windows が、巧妙に細工された .LNK ファイルを処理すると、リモートからコードが実行される恐れがあります。この脆弱性は、悪意のある .LNK ファイルや関連するバイナリを含むリムーバブルドライブやリモート共有ファイルをユーザが開くことでエクスプロイトされる恐れがあります。ユーザが Windows Explorer でファイルを開くか、別のアプリケーションを開いて .LNK ファイルを解析すると、バイナリによって、攻撃者の指定したコードが実行されます。

CVE-2020-0738 は、Windows Media Foundation におけるメモリ破損の脆弱性です。Windows Media Foundation がメモリ内オブジェクトを処理する方法に起因しています。巧妙に細工された悪意のあるファイルや Web ページをユーザが開くと、この脆弱性がエクスプロイトされる恐れがあります。エクスプロイトされるとメモリが破損し、プログラムがインストールされてユーザデータが操作されたり、被害を受けたマシンに新しいユーザアカウントが作成されたりする可能性があります。

「重要」と評価された脆弱性

このリリースには、「重要」と評価された 84 件の脆弱性も含まれています。

• CVE-2020-0618
• CVE-2020-0655
• CVE-2020-0657
• CVE-2020-0658
• CVE-2020-0659
• CVE-2020-0660
• CVE-2020-0661
• CVE-2020-0663
• CVE-2020-0665
• CVE-2020-0666
• CVE-2020-0667
• CVE-2020-0668
• CVE-2020-0669
• CVE-2020-0670
• CVE-2020-0671
• CVE-2020-0672
• CVE-2020-0675
• CVE-2020-0676
• CVE-2020-0677
• CVE-2020-0678
• CVE-2020-0679
• CVE-2020-0680
• CVE-2020-0682
• CVE-2020-0683
• CVE-2020-0685
• CVE-2020-0686
• CVE-2020-0688
• CVE-2020-0689
• CVE-2020-0691
• CVE-2020-0692
• CVE-2020-0694
• CVE-2020-0695
• CVE-2020-0696
• CVE-2020-0697
• CVE-2020-0698
• CVE-2020-0701
• CVE-2020-0703
• CVE-2020-0704
• CVE-2020-0705
• CVE-2020-0706
• CVE-2020-0707
• CVE-2020-0708
• CVE-2020-0709
• CVE-2020-0714
• CVE-2020-0715
• CVE-2020-0716
• CVE-2020-0717
• CVE-2020-0719
• CVE-2020-0720
• CVE-2020-0721
• CVE-2020-0722
• CVE-2020-0723
• CVE-2020-0724
• CVE-2020-0725
• CVE-2020-0726
• CVE-2020-0727
• CVE-2020-0728
• CVE-2020-0730
• CVE-2020-0731
• CVE-2020-0732
• CVE-2020-0733
• CVE-2020-0735
• CVE-2020-0736
• CVE-2020-0737
• CVE-2020-0739
• CVE-2020-0740
• CVE-2020-0741
• CVE-2020-0742
• CVE-2020-0743
• CVE-2020-0744
• CVE-2020-0745
• CVE-2020-0746
• CVE-2020-0747
• CVE-2020-0748
• CVE-2020-0749
• CVE-2020-0750
• CVE-2020-0751
• CVE-2020-0752
• CVE-2020-0753
• CVE-2020-0754
• CVE-2020-0755
• CVE-2020-0756
• CVE-2020-0759
• CVE-2020-0766

その他の脆弱性

その他に CVE-2020-0693 と CVE-2020-0702 の 2 つの脆弱性がありますが、Microsoft 社は重大度を指定していません。

カバレッジ

Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

該当の Snort ルールは、48701、48702、53050 ～ 53056、53061、53072、53073、53079 ～ 53089 です。

本稿は 2020年2月11日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — Feb. 2020: Vulnerability disclosures and Snort coverage」の抄訳です。

Authors

TALOS Japan