Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 100 を超える脆弱性についての情報を公開しました。
そのうち 14 件の脆弱性は「緊急」に分類され、残りの大部分は「重要」に分類されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。
このセキュリティ更新プログラムは、SharePoint ドキュメント管理システム、Azure Sphere、Windows カメラコーデック(ユーザはマシン上でさまざまなビデオファイルを表示可能)など、さまざまな製品を対象としています。
これらの脆弱性の一部は、Talos がリリースした新しい SNORTⓇ ルールセットで対応済みです。詳細については、こちらの Snort 最新アドバイザリを参照してください。
今回は特に、SharePoint で発見されたリモートコード実行の脆弱性 2 件について取り上げます。CVE-2020-16951 および CVE-2020-16952 は、SharePoint でアプリケーションパッケージのソースマークアップが適切にチェックされないことに起因する脆弱性です。攻撃者はこれらのバグをエクスプロイトすることにより、SharePoint アプリケーションプールと SharePoint サーバファームアカウントのコンテキストで任意のコードを実行できる可能性があります。
また、Windows 10 オペレーティングシステムでも新たに 2 つの脆弱性が発見されています。リモートの攻撃者はこれらの脆弱性をエクスプロイトすることで、認証されていない状態でも細工された IPv6 パケットを送信して Windows システムをクラッシュさせたり(CVE-2020-16899)、標的のシステム上でコードを実行したりすることができます(CVE- 2020-16898)。CVE-2020-16898 は 16899 と比べて、最新のソフトウェアリリースと古いバージョンの Windows でエクスプロイトされる可能性がより高いと Microsoft 社は発表しています。
もう 1 つの注目すべき脆弱性は CVE-2020-16891 です。これは Windows Hyper-V におけるリモートコード実行の脆弱性で、攻撃者はこの脆弱性を利用することにより、Hyper-V ホスト オペレーティング システム上で任意のコードを実行できる可能性があります。
Microsoft 社が今月公開したすべての脆弱性のリストについては、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、55942、55943、 55979、 55980、 55982 ~ 55984、 55989、55990、 55993 および 55994 です。
本稿は 2020 年 10 月 13 日に Talos Group のブログに投稿された「 Microsoft Patch Tuesday for Oct. 2020 — Snort rules and prominent vulnerabilities」の抄訳です。