Categories: 脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2020 年 11 月に公開された脆弱性と、対応する Snort ルール

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 110 件強の脆弱性についての情報を公開しました。同社が先月公開した脆弱性の数はここ数か月で最も少なかったものの、今月はそれよりもわずかに増加しています。 

18 件の脆弱性が「緊急」、残りの大部分が「重要」に分類されているほか、「重要度低」の脆弱性も 2 件報告されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。

今回のセキュリティ更新プログラムは、HEVC ビデオ拡張機能、Azure Sphere プラットフォーム、Microsoft Exchange サーバなど、さまざまな製品とサービスを対象としています。

該当する脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジを Talos から提供しています。詳細については、こちらの Snort 最新アドバイザリを参照してください。

最も深刻な脆弱性の 1 つは、Windows ネットワーク ファイル システムに存在します。CVE-2020-17051 には、CVSS 重要度スコア 9.8(最高スコアは 10)が割り当てられています。この脆弱性が攻撃者によってエクスプロイトされると、被害者のマシン上でユーザに操作させたりログイン情報を盗み出したりしなくても、リモートコードを実行できる危険性があります。

また、Windows マシンで最も古い機能の 1 つである Windows 印刷スプーラでも、リモートコード実行の脆弱性(CVE-2020-17042)が見つかっています。この脆弱性は、Windows 7 および Windows Server 2008 の一部のバージョンを含む、数年前の Windows オペレーティングシステムと Windows Server のバージョンに影響を与えます。

Microsoft のスクリプトエンジンにも重大な脆弱性があり、攻撃者によってエクスプロイトされるとメモリが破損され、リモートでコードを実行される可能性があります。CVE-2020-17052 は、Internet Explorer や Microsoft Edge の一部のバージョンで攻撃者が細工した Web ページをユーザに開かせることでエクスプロイトされる危険性があります。その結果、被害者のマシンのメモリが破損され、他の攻撃に晒される可能性があります。

今月のリリースには、Cisco Talos が発見した Microsoft Azure Sphere の複数の脆弱性に対する公式パッチも含まれています。バグの詳細については、こちらのブログ記事をご覧ください。これらの脆弱性がエクスプロイトされると、攻撃者によってリモートコードを実行されたり、機密情報を公開されたりするなど、さまざまな状況が発生する可能性があります。

Microsoft 社が今月公開したすべての脆弱性のリストについては、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、56161 ~ 56264、56230、56231、56254、56255、56286 ~ 56289、56295、56296、56309、56301 ~ 56305、56310 および 56312 です。

 

本稿は 2020 年 11 月 10 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for Nov. 2020 — Snort rules and prominent vulnerabilities」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。