Categories: 脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2021 年 7 月に公開された脆弱性と、対応する Snort ルール

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 117 件の脆弱性についての情報を公開しました。これは、今年に入ってから最多の件数です。今月のセキュリティ更新では、Microsoft 社が実際にエクスプロイトされていると説明している 3 件の脆弱性にパッチが適用されました。これについては、後で詳しく説明します。

今月修正された「緊急」の脆弱性は 13 件で、「警告」と「注意」がそれぞれ 1 件となっています。残りはすべて「重要」です。

最も注目していただきたいのは、印刷スプーラ機能に存在する「PrintNightmare」の脆弱性を修正するパッチがリリースされている点です。エクスプロイトされると、攻撃者がリモートコードを実行する危険性があります。この脆弱性は 4 月に初めて公開されましたが、その後セキュリティ研究者は当初考えていたよりも深刻な方法でエクスプロイトされる可能性があることを発見しました。

Microsoft 社は今月初めにアウトオブバンドの修正プログラムをリリースして対処しようとしましたが、この脆弱性は依然としてエクスプロイトされる可能性があると考えられています

詳細については Talos のブログで、関連する保護と分析をご覧ください。

今月のセキュリティ更新プログラムには、Hyper-V、Microsoft Defender、Windows DNS などの製品が含まれています。これらの CVE の詳細については、Microsoft 社のセキュリティ更新ページをご覧ください。

Microsoft 社によると、印刷スプーラの脆弱性以外にも、攻撃者が実際にエクスプロイトした脆弱性が 1 件ありました。CVE-2021-34448 は、スクリプトエンジンに存在するメモリ破損の脆弱性です。電子メールに添付されている、あるいは侵害された Web サイトでホストされている細工されたファイルをユーザが開くとトリガーされます。

Microsoft Exchange Server の「緊急」の脆弱性(CVE-2021-34473)が新たに公表されました。この脆弱性には、Microsoft 社の 4 月のセキュリティ更新ですでにパッチが適用されていますが、手違いで公開されていませんでした。2021 年 4 月の更新プログラムをすでにインストールしているユーザは、この脆弱性から保護されています。ただし、この脆弱性が、広範な APT 攻撃で使用される Exchange Server に対する一連のゼロデイ攻撃の 1 つであることに留意する必要があります。

同社のほとんどのマシンに組み込まれているウイルス対策ソフトウェア Microsoft Defender にも「緊急」の脆弱性(CVE-2021-34464)が存在します。これにより、攻撃者は標的のマシン上でリモートコードを実行できる可能性があります。ただし、更新プログラムが自動的にインストールされるため、ユーザはこの問題を解決するためのアクションを起こす必要はありません。Microsoft 社はアドバイザリで、更新プログラムが正しくインストールされていることを確認するための手順を公開しています。

攻撃者が標的のマシン上でリモートコードを実行する可能性のある SharePoint Server の 3 件の脆弱性にも注意が必要です。この 3 件の脆弱性(CVE-2021-34520CVE-2021-34467CVE-2021-34468)はすべて「重要」と評価されていますが、Microsoft 社はエクスプロイトされる「可能性が高い」と説明しています。

他にも、エクスプロイトされる「可能性が高い」と評価されている「重要」な脆弱性が複数あります

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、57890、57891、57894 ~ 57897、57906 ~ 57910 です。

 

本稿は 2021 年 07 月 13 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for July 2021 — Snort rules and prominent vulnerabilities」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。