Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2021 年 4 月に公開された脆弱性と、対応する Snort ルール


2021年4月21日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 108 件の脆弱性についての情報を公開しました。これは、今年に入ってから最多の件数です。

本日のセキュリティ更新プログラムには、Microsoft Exchange Server に存在する新たなリモートコード実行の脆弱性が 4 件含まれています。Microsoft 社は今年に入ってから Exchange Server における複数のゼロデイ脆弱性を公開しており、攻撃者はこれらの脆弱性を実際にエクスプロイトしています。更新プログラムを未適用の状態で該当製品を使用している場合はできるだけ早く更新し、それまでの間は何らかのリスク軽減策を講じることが推奨されます。Cisco Secure IPS を使用して、すでに公開されている脆弱性のエクスプロイトを検出することもできます。

Microsoft 社が本日公開した新たな脆弱性、CVE-2021-28480popup_iconCVE-2021-28481popup_iconCVE-2021-28482popup_iconCVE-2021-28483 popup_iconは、いずれも「緊急」と評価されており、最も深刻な脆弱性の CVSS 重大度スコアは 10 点中 9.8 点です。

今月リリースされた脆弱性では、20 件が「緊急」、1 件が「警告」と評価されています。残りはすべて「重要」となっています。

リモートプロシージャコールのランタイムには、12 件の「緊急」の脆弱性が存在します。これらの脆弱性をエクスプロイトするにはユーザの操作が必要なく、攻撃者により標的のマシン上でリモートコードを実行される危険性があります。これらの CVE の詳細については、Microsoft 社のセキュリティ更新ページをご覧ください。

今月のセキュリティ更新プログラムでは、Microsoft Office、Windows Kernel、Visual Studio などのソフトウェアにもパッチが提供されています。

これらの脆弱性の一部は、Talos がリリースした新しい SNORTⓇ ルールセットで対応済みです。詳細については、こちらpopup_iconの Snort 最新アドバイザリを参照してください。

Windows Media Video Decoder には、リモートコードを実行される「緊急」の脆弱性が 2 件(CVE-2021-27095CVE-2021-28315)含まれており、修正プログラムは今月、提供が開始されました。Microsoft 社によると、攻撃者はこれらの脆弱性をエクスプロイトするために特別な権限を必要とせず、エクスプロイト自体は複雑ではありません。

その他にも「緊急」な脆弱性 CVE-2021-28460 が Azure Sphere に存在し、攻撃者により標的のシステム上でリモートコードを実行される危険性があります。Cisco Talos は、バグ発見コンテストでこの脆弱性を発見しました。Azure Sphere のバージョン 21.03 以降はすでにこの脆弱性から保護されています。

Windows ネットワーク ファイル システムには、リモートコードを実行される「緊急」の脆弱性も存在します。Microsoft 社によると、CVE-2021-28445 をエクスプロイトするにはユーザの操作は必要なく、CVSS 重大度スコアは 10 点中 8.1 点です。

また、Win32k プロセスにおける権限昇格の 2 件の脆弱性にも注意が必要です。CVE-2021-27072 と CVE-2021-28310 は、 Windows 10 と Windows Server の一部のバージョンに影響する脆弱性です。攻撃者が標的のマシン上でログイン情報を取得し、さらなる攻撃に使用する危険性があります。Microsoft 社によると、CVE-2021-28310 はすでにエクスプロイトが確認されています。

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、57403、57404、57411、57414 です。

 

本稿は 2021 年 04 月 13 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for April 2021 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

Tags:
コメントを書く