Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 44 件の脆弱性についての情報を公開しました。これは、過去 2 年以上において最も少ない件数です。
今回のリリースで「緊急」と評価された脆弱性は 9 件のみで、残りはすべて「重要」でした。
最も深刻なのは、Windows TCP/IP プロトコルの実装に存在するリモートコード実行の脆弱性 CVE-2021-26424 です。攻撃者は、細工した TCP/IP パケットを TCP/IP プロトコルスタックを使用して Hyper-V のゲストからホストに送信することにより、この脆弱性をリモートでトリガーする危険性があります。これにより、悪意のあるプログラムが仮想マシンで実行され、ホスト環境が侵害される危険性が高まります。
今月の月例更新プログラムには、Windows グラフィックコンポーネント、印刷スプーラ、Microsoft Office などが含まれます。これらの CVE の詳細については、Microsoft 社のセキュリティ更新ページをご覧ください。
Talos は 2 件の脆弱性(CVE-2021-26428 、CVE-2021-26430 )を発見し、今月パッチが適用されました。いずれも Azure Sphere に存在します。これらの脆弱性は、Talos が Microsoft 社のバグ発見コンテスト「Azure Sphere Challenge」に参加する中で発見されました。詳細については今後の記事で説明します。
リモート デスクトップ クライアントには、別の「緊急」なリモートコード実行の脆弱性(CVE-2021-34535 )が存在します。この脆弱性の概念実証コードはすでに公開されており、重大度スコアは 10 点満点中 8.8 点です。リモートデスクトップサーバを制御する攻撃者がこの脆弱性をエクスプロイトして、クライアントのマシンでコードを実行する可能性があります。また、攻撃者が Hyper-V のゲスト仮想マシンで悪意のあるプログラムを実行することで脆弱性をエクスプロイトし、コードを実行する危険性もあります。
Windows の NFS サービスにおける「緊急」なリモートコード実行の脆弱性 CVE-2021-26432 にも注意が必要です。Microsoft 社のアドバイザリでは、この脆弱性がエクスプロイトされる「可能性が高い」とされており、重大度スコアは満点に近い 9.8 点です。
今月の月例更新プログラムには、PetitPotam 攻撃ベクトルの詳細も含まれています。このツールは、CVE-2021-36942 をエクスプロイトするための概念実証として機能し、公開されています。この脆弱性の重大度スコアは 9.8 点ですが、エクスプロイトされたとの報告はまだありません。
この脆弱性はドメインコントローラに対する攻撃の一部として使用される危険性がありますが、攻撃者はまず内部ネットワークにアクセスする必要があります。ドメインコントローラを乗っ取れば複数のシステムにアクセスできるため、サイバー攻撃の標的にされることがよくあります。
Microsoft 社は、パッチの適用以外にも、先週アドバイザリで説明した他の軽減策を講じるよう推奨しています。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、57997 ~ 57999、58003 です。
本稿は 2021 年 08 月 10 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for August 2021 — Snort rules and prominent vulnerabilities」の抄訳です。