Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2021 年 6 月に公開された脆弱性と、対応する Snort ルール


2021年6月15日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 51 件の脆弱性についての情報を公開しました。これは、過去 16 か月間で最も少ない件数です。 

今月修正された「緊急」の脆弱性は 4 件のみで、残りはすべて「重要」です。ただし Microsoft 社によると、実際にエクスプロイトされている脆弱性が複数あります。

今月のセキュリティ更新プログラムでは、SharePoint Server、Windows カーネル、Outlook などのソフトウェアと Windows の機能も更新されています。これらの CVE の詳細については、Microsoft 社のセキュリティ更新ページをご覧ください。

Microsoft 社が本日公開した 2 件の脆弱性は、Adobe Acrobat Reader の別の脆弱性と関連しています。Microsoft 社は、Enhanced Cryptographic Provider の脆弱性 CVE-2021-31199 および CVE-2021-31201 の修正プログラムを公開しました。攻撃者は、影響を受けるバージョンの Windows でソフトウェアが実行されている間に、脆弱なバージョンの Adobe Acrobat または Adobe Reader で、細工された PDF ファイルをユーザに開かせることで、標的のシステムで権限を昇格させる可能性があります。Microsoft 社はアドバイザリで、これらの脆弱性のエクスプロイトが実際に確認されたことを明らかにしています。

Adobe 社も、5 月の月例セキュリティアップデートでこの問題に対処し、CVE-2021-28550 のパッチをリリースしました。これらの脆弱性のエクスプロイトを防ぐために、影響を受ける Windows と Adobe Acrobat のバージョンを更新することをお勧めします。

今月、「緊急」と評価された脆弱性のうちの 1 件は、Windows Defender(マルウェア対策ソフトウェア)に存在します。CVE-2021-31985 がエクスプロイトされると、攻撃者が標的のマシンでリモートでコードを実行する可能性があります。ただし Microsoft 社は、Windows Defender で今月確認された他の脆弱性とともに、この脆弱性が自動更新されることを発表しています。ユーザは、Microsoft 社がアドバイザリで説明している手順に基づき、更新プログラムのダウンロードとインストールが完了していることを確認できます。

CVE-2021-31939 もリモートでコードが実行される脆弱性です。この脆弱性は Microsoft Office の MSGraph コンポーネントに存在します。ほとんどの Microsoft Office ドキュメントには MSGraph コンポーネントが埋め込まれているため、攻撃者は特別な機能を使用することなく、悪意のあるペイロードを被害者のマシンに配信する可能性があります。この脆弱性は、Check Point 社が火曜日に初めて公開しました。

このコンポーネントはほとんどの Office ドキュメントに組み込むことができるため、攻撃者はこの脆弱性をエクスプロイトし、特別な機能を必要とせずに悪意のあるペイロードを配信できます。

Microsoft 社によると、もう 1 件の脆弱性である DWM Core Library の権限昇格の脆弱性がすでにエクスプロイトされています。攻撃者は、ローカルマシンで実行ファイルまたはスクリプトを実行することにより、CVE-2021-33739 をトリガーする可能性があります。この脆弱性の CVSS スコアは 10 点中 8.4 点ですが、Microsoft 社の評価では「重要」となっています。

このほか、CVE-2021-31955 についても注意が必要です。攻撃者がこの脆弱性をエクスプロイトし、ユーザモードプロセスからカーネルメモリの内容を読み取る可能性があります。Microsoft 社はアドバイザリで、この脆弱性も実際に頻繁にエクスプロイトされていることを明らかにしています。

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、49388、49389、57722 ~ 57727、57730 ~ 57733、57735、57736 です。

 

本稿は 2021 年 06 月 08 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for June 2021 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

Tags:
コメントを書く