Microsoft セキュリティ更新プログラム(月例):2020 年 9 月に公開された脆弱性と、対応する Snort ルール
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 120 を超える脆弱性についての情報を公開しました。
そのうち 23 件の脆弱性は「緊急」に分類され、残りの大部分は「重要」に分類されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。
今回のセキュリティ更新プログラムでは、 Microsoft Office スイート製品、Windows Media Audio Decoder、Hyper-V 仮想マシンソフトウェアを含め、多岐にわたる製品が対象となっています。
これらの脆弱性の一部は、Talos がリリースした新しい SNORTⓇ ルールセットで対応済みです。詳細については、こちら
の Snort 最新アドバイザリを参照してください。
最も深刻な脆弱性の 1 つは、Microsoft COM に存在します。CVE-2020-0922 には、CVSS 重要度スコア 8.8(最高スコアは 10)が割り当てられています。攻撃者がエクスプロイトに成功すると、細工された JavaScript を含む Web ページをユーザに開かせた後、リモートで任意コードを実行できる可能性があります。
また、同様の攻撃ベクトルにより、Media Audio Decoder のコード実行バグ(CVE-2020-1508 および CVE-2020-1593)もエクスプロイトされる可能性があります。攻撃者は、細工された Web ページをユーザに開かせることで、感染したシステムを制御できる可能性があります。
また、ChakraCore スクリプトエンジンにも、リモートコード実行の脆弱性が 2 件存在します。これらの脆弱性をエクスプロイトすることで、攻撃者は現ユーザの権限でコードを実行できる可能性があります。CVE-2020-1057 および CVE-2020-1172 はいずれも、スクリプトエンジンによるメモリ内でのオブジェクトの処理方法に関連しています。
ここでは、「重要」に分類された脆弱性のうち、Office 製品に存在する 4 件の脆弱性(Excel に影響を与える 3 件の脆弱性と、Word に影響を与える 1 件の脆弱性)を取り上げます。CVE-2020-1193、CVE-2020-1218、CVE-2020-1332、CVE-2020-1594 はいずれも、悪意のあるファイルが添付されたフィッシングメールを介してエクスプロイトされる可能性があります。ユーザが影響を受けるソフトウェアの添付ファイルのいずれかを開いた場合、攻撃者は感染したマシンでコードを実行できる可能性があります。
Talos が最近発見した脆弱性の中では、Windows 10 Common Log File System における特権昇格の脆弱性 CVE-2020-1115 が特に際立っています。
Microsoft 社が今月公開したすべての脆弱性のリストについては、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、 55139 ~ 55146、55161、55162、55187、 55188、55206 です。
本稿は 2020 年 9 月 8 日に Talos Group
Tags:
