今週、Microsoft 社から月例のセキュリティ更新プログラムがリリースされました。今回公開されたのは Microsoft 製品スイート全体に関連する 58 件の脆弱性ですが、この 1 年間にリリースされた月例セキュリティ更新プログラムでは最少となりました。
「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。
今回のセキュリティ更新プログラムでは、SharePoint ファイル共有サービス、 Windows バックアップエンジン、Exchange メールサーバなど、複数の製品とサービスで確認された脆弱性が修正されています。
これらの脆弱性の一部は、Talos がリリースした新しい SNORTⓇ ルールセットで対応済みです。詳細については、こちらの Snort 最新アドバイザリを参照してください。
今回最も深刻な脆弱性の 1 つは、SharePoint に存在しています。脆弱性 CVE-2020-17118 をエクスプロイトすることで、攻撃者はターゲットマシン上でリモートコードを実行できる可能性があります。Microsoft 社が発表したこのバグの CVSS スコアは、10 点満点中 8.1 点です。
Windows NTFS にも、リモートコード実行の脆弱性(CVE-2020-17096)が存在します。この脆弱性は、ターゲットシステムに SMBv2 経由でアクセスできる攻撃者によってエクスプロイトされる可能性があります。攻撃者は、細工した要求をネットワーク経由で送信することにより、ターゲットシステム上でコードを実行できる可能性があります。また、細工したアプリケーションを実行することにより、ターゲットマシン上で自身のアクセス権限を昇格させられる可能性もあります。
Microsoft Exchange にも「緊急」に分類される脆弱性があり、攻撃者にエクスプロイトされるとリモートでコードを実行される危険性があります。CVE-2020-17117 はユーザの操作なしでエクスプロイトされる可能性がありますが、Microsoft 社の評価によると、実際にエクスプロイトされる可能性は「低い」とされています。
また、Talos の研究者が Excel のリモートコード実行のバグを発見しました。影響があるのは、2010 年以降のバージョンの Excel です。TALOS-2020-1153 の詳細については、Talos が発行している「注目の脆弱性」をご覧ください。
Microsoft 社が今月公開したすべての脆弱性のリストについては、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、56554、56557、56558、56560 ~ 56562、56564 です。
本稿は 2020 年 12 月 08 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday (Dec. 2020) — Snort rules and notable vulnerabilities」の抄訳です。