Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 120 件の脆弱性についての情報を公開しました。
うち 16 件は「緊急」と評価されています。この中には、現在実際にエクスプロイトが確認されている脆弱性も含まれます。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、脆弱性のエクスプロイトから保護する必要があります。
今回リリースされたセキュリティ更新プログラムは、Microsoft Media Foundation、Windows レジストリ、Microsoft Outlook など、複数の製品を対象としています。
これらの脆弱性の一部は、Talos がリリースした新しい SNORTⓇ ルールセットで対応済みです。詳細については、こちらの Snort 最新アドバイザリを参照してください。
Microsoft Media Foundation は、今回「緊急」と評価された脆弱性を最も多く含んでいます。攻撃者はこれらの脆弱性(CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554)をエクスプロイトしてメモリを破損させ、任意コードをリモート実行できる可能性があります。いずれの脆弱性も、細工されたドキュメントまたは Web ページを開いたときにトリガーされる可能性があります。
同様に、Microsoft Scripting Engine にも 2 つの脆弱性(CVE-2020-1380 および CVE-2020-1555)が含まれています。これらに関しても、攻撃者は脆弱性をエクスプロイトして被害者のマシンのメモリを破損させ、コードをリモート実行できる可能性があります。Microsoft 社は、CVE-2020-1380 が実際にエクスプロイトされていると発表していますが、コンセプト実証コードは公開されていません。
Microsoft 社の Netlogon Remote Protocol でも、重大なリモートコード実行の脆弱性が確認されました。攻撃者は CVE-2020-1472 をエクスプロイトすることにより、標的ネットワークに接続されたマシン上で細工したアプリケーションを実行できる可能性があります。今回の更新プログラムをインストールした後は、ドメインコントローラ(DC)強制モードを導入することをお勧めします。
今月のセキュリティ更新プログラムでは、大半の脆弱性が「重要」と評価されています。Microsoft 社の更新プログラムページで詳細を確認してください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、54733 ~ 54746、54753、54754 です。
本稿は 2020 年 8 月 11 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for Aug. 2020 — Snort rules and prominent vulnerabilities」の抄訳です。