Cisco Japan Blog

Microsoft セキュリティ更新プログラム(月例):2021 年 11 月に公開された脆弱性と、対応する Snort ルール

1 min read



Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のさまざまなソフトウェア、ハードウェア、ファームウェア製品で確認された 56 件の脆弱性についての情報を公開しました。公開された脆弱性の中には活発にエクスプロイトされているものもあります。 

11 月のセキュリティ更新プログラムでは「緊急」と評価された脆弱性が 6 件あります。先月は「緊急」が 2 件のみで平均的な件数を大幅に下回っていましたが、今月は増加しました。同時に修正された他の 50 件の脆弱性は「重要」と評価されています。

CVE-2021-42292 も「緊急」ではなく「重要」と評価された脆弱性ですが、今月のセキュリティ更新プログラムで修正された脆弱性のうち、活発なエクスプロイトを確認したと Microsoft 社が述べているのはこの脆弱性のみです。Microsoft Excel で発見された脆弱性であり、エクスプロイトされると、標的になったマシンの特定のセキュリティ設定がバイパスされる危険性があります。

攻撃者がシステムへの主な侵入経路として電子メール添付ファイルを使用している場合、この脆弱性を悪用することで攻撃の効率を高めることができます。セキュリティプロンプトを回避できるので、感染させるためにソーシャルエンジニアリングを仕掛ける必要性が減るからです。

「緊急」と評価された脆弱性で取り上げておきたいのは CVE-2021-38666 です。これはリモート デスクトップ クライアントにおけるリモートコード実行の脆弱性です。リモート デスクトップ サーバーが攻撃者の管理下にある状況でこの脆弱性がエクスプロイトされると、クライアントマシンでリモートコードが実行される危険性があります。ただし、そのためには攻撃者が標的を騙して、脆弱なバージョンのリモート デスクトップ クライアントから攻撃者が管理するサーバーに接続させる必要があります。したがって、この脆弱性をエクスプロイトできるケースは限られています。ただし、特定の状況でこの脆弱性が悪用されるとさらなる権限が取得されたりラテラルムーブメントが行われたりする危険性があるので、この問題は無視できません。

Windows Defender にもコード実行の脆弱性(CVE-2021-42298)があります。Windows Defender はすべての Windows デスクトップデバイスに事前インストールされている無料のウイルス対策サービスです。細工されたファイルが Windows Defender でスキャンされたりユーザーによって開かれたりするとコードが実行される危険性があります。この方法で、攻撃者は非常に効率的にリモートシステムを感染させることができます。システムには、電子メールアプリやインスタント メッセージ アプリなどを介して悪意のあるファイルが配布されます。

CVE-2021-26443 にも注意が必要です。Microsoft 仮想マシンバス(VMBus)のコード実行の脆弱性であり、CVSS の重大度スコアは 10 点中 9 点となっています。この脆弱性が悪用されるとゲスト VM によってホスト VM でコマンドが実行され、特権昇格が行われる危険性があります。信頼されていない Microsoft 仮想マシンを利用している特定の環境では重大な脆弱性となります。

また Talos は Azure Sphere の脆弱性も複数発見しています。この数か月で Microsoft 社によって修正されたものもあり、今回も 4 件修正されましたが、まだ修正されておらず CVE が割り当てられていない脆弱性もあります。詳細については、こちらのブログ記事をご覧ください

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、58519、58520、58539 ~ 58541 です。Snort 3 ルール 300054 もあります。

 

本稿は 2021 年 11 月 09 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for Nov. 2021 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

コメントを書く