Microsoft セキュリティ更新プログラム(月例):2020 年 7 月に公開された脆弱性と、対応する Snort ルール
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 120 を超える脆弱性についての情報を公開しました。
脆弱性の中で「緊急」と評価されているものはわずかですが、Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新してエクスプロイトを防ぐ必要があります。
今月のセキュリティ更新プログラムは、Hyper-V エンジン、Microsoft Word、その他の Microsoft Office 製品スイートなど、さまざまな製品を対象としています。
これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については、こちら
の Snort 最新アドバイザリを参照してください。
Cisco Talos は「緊急」と評価された脆弱性を 6 件発見し、Microsoft 社が今月修正しています。これらの脆弱性につけこまれると、いずれも Windows Hyper-V エンジンの RemoteFX 機能がエクスプロイトされてリモートからコードが実行される恐れがあります。これらのバグは、一部の Intel 社製および AMD 社製ドライバに影響を及ぼします。
これらの脆弱性につけ込まれると、ユーザがリモートからエクスプロイトされる可能性があります。また、Hyper-V 仮想マシンからエスケープしてホストマシンにアクセスするために利用される恐れもあります。Talos の検証では、この脆弱性を利用して VMware 仮想マシンからエスケープすることはできませんでした。Microsoft 社は、これらの問題を解決するために Hyper-V で RemoteFX を無効にすることにしました。詳細については、こちらから Talos が発行している「注目の脆弱性」をご覧ください。
特に注意していただきたいもう 1 つの「緊急」のバグは、Windows DNS サーバにおけるリモートコード実行の脆弱性である CVE-2020-1350 です。この脆弱性には、最もエクスプロイトされるリスクが高く危険なことを示す、ベース CVSS スコア 10 が割り当てられています。DNS はネットワークのコアコンポーネントの 1 つであるため、攻撃されると大きな混乱を招く恐れがあります。この脆弱性は自己複製型の攻撃でエクスプロイトされる可能性があるため、すぐにパッチを適用することを強く推奨します。
悪意のあるリクエストが Windows DNS サーバに送信されて CVE-2020-1350 がエクスプロイトされると、ローカルシステムアカウントで任意のコードが実行される恐れがあります。DNS サーバとして設定された Windows サーバは、このタイプのエクスプロイトに対して脆弱です。
今月のセキュリティ更新プログラムでは、大半の脆弱性が「重要」と評価されています。Microsoft 社の更新プログラムページで詳細を確認してください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回の多くの脆弱性がエクスプロイトされないように保護するためのリリースに含まれるルールは、54509 〜 54511、54516 〜 54518、54521 〜 54525、54534、54535 です。
本稿は 2020 年 7 月 14 日に Talos Group
Tags:
