Categories: 脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2021 年 1 月に公開された脆弱性と、対応する Snort ルール

Microsoft 社は本日、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。

「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。  

このセキュリティ更新プログラムの対象には、Microsoft Defender ウイルス対策ソフトウェア、Microsoft Remote Procedure Call ツール、Windows デバイスとの Bluetooth 通信など、さまざまな製品とサービスが含まれています。

該当する脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジを Talos から提供しています。詳細については、こちらの Snort 最新アドバイザリを参照してください。

最も深刻な脆弱性の 1 つは、Microsoft Defender に存在します。CVE-2021-1647 は、Windows 2008 以降の特定バージョンの Windows に影響します。脆弱性がエクスプロイトされると、侵入先のマシンで任意コードを実行される危険性があります。Microsoft 社によると、今回の修正はマルウェア対策製品に対する同社の定例更新であるため、セキュリティ更新プログラムをインストールして脆弱性を修正するためにユーザが特に操作する必要はありません。

SharePoint サービスには、いくつかの「重要」な脆弱性が存在します。最も注目に値する脆弱性は CVE-2021-1707 です。攻撃者はこの脆弱性をエクスプロイトすることでシステムにアクセスし、 SharePoint サイトを作成できる可能性があります。また、ログインに使用したユーザアカウントに適切な権限が付与されている場合は、カーネル内でリモートコードを実行できる可能性もあります。

もう 1 つの重要な脆弱性(CVE-2021-1709)は、ユーザの操作を必要としない Win32k システムプロセスに存在します。攻撃者は、ローカルマシンをエクスプロイトして権限を昇格させ、追加の攻撃を実行できる可能性があります。

その他にも注意が必要な 4 つの脆弱性を以下に取り上げます。

  • CVE-2021-1677:Azure Active Directory Pod におけるアイデンティティ スプーフィングの脆弱性
  • CVE-2021-1705:HTML ベースバージョンの Microsoft Edge におけるメモリ破損の脆弱性
  • CVE-2021-1648:splwow64 における特権昇格の脆弱性
  • CVE-2021-1643:HEVC ビデオファイルにおけるコード実行の脆弱性

Microsoft 社が今月公開したすべての脆弱性のリストについては、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、56849 ~  56860、56865 です。

 

本稿は 2021 年 01 月 12 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for Jan. 2021 — Snort rules and prominent vulnerabilities」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。