Microsoft セキュリティ更新プログラム(月例):2022 年 5 月に公開された脆弱性と、対応する Snort ルール
Microsoft 社の 5 月のセキュリティ更新プログラムは 1 か月の件数としては通常の量に戻っており、74 件の脆弱性が公開されて修正されています。4 月には 140 件を超すセキュリティの問題が公開されましたが、今月は 7 件の脆弱性が「緊急」と評価されています。
Windows のポイントツーポイント トンネリング機能では最も重大な脆弱性が 2 件発見されています。これらがエクスプロイトされると、標的の RAS サーバーマシンでリモートコードが実行される危険性があります。CVE-2022-21972 と CVE-2022-23270 は「緊急」と評価されていますが、Microsoft 社によると、競合状態に勝つことが攻撃者にとっての必要条件になるため攻撃条件の複雑さが高く、これらの問題がエクスプロイトされる可能性は低いとのことです。
CVE-2022-26931 と CVE-2022-26923 は、それぞれ Windows Kerberos および Windows Active Directory における特権昇格の脆弱性です。いずれも「緊急」と評価されていますが、CVE-2022-26931 は攻撃条件の複雑さが高いため、エクスプロイトされる可能性は低いとされています。
Windows ネットワーク ファイル システム(NFS)では、今月の脆弱性の中で重大度スコアが最も高かった CVE-2022-26937 が発見されています。重大度スコアは 10 点中 9.8 点です。この脆弱性は NFS サービスに対して未認証の細工された呼び出しを行うことでエクスプロイトでき、最終的にリモートコードが実行される危険性があります。
5 月のセキュリティ更新プログラムでは、Magnitude Simba Amazon Redshift ODBC ドライバの脆弱性も公開されています。これは Windows セルフホステッド統合ランタイムサービスに影響を与えます。CVE-2022-29972 がエクスプロイトされるとリモートコードが実行される危険性がありますが、Synapse 管理者、Synapse 共同作成者、または Synapse コンピュータオペレータと同じレベルの権限がまずは必要となります。
また、エクスプロイトされる「可能性が高い」と Microsoft 社が考えている 6 件の重要な脆弱性も挙げておきます。
- CVE-2022-29104 — Windows 印刷スプーラーの特権昇格の脆弱性
- CVE-2022-29108 — Microsoft SharePoint Server のリモートコード実行の脆弱性
- CVE-2022-29114 — Windows 印刷スプーラーの情報漏えいの脆弱性
- CVE-2022-29132 — Windows 印刷スプーラーの特権昇格の脆弱性
- CVE-2022-29142 — Windows カーネルの特権昇格の脆弱性
- CVE-2022-23279 — Windows ALPC の特権昇格の脆弱性
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、59726 ~ 59728、59730、59731、59733、59734、59737、59738 です。Snort 3 では、300125、300126、300128、300129、300130、300133、300134 ~ 300137 の各ルールでもこれらの脆弱性から保護できます。
本稿は 2022 年 05 月 10 日に Talos Group
のブログに投稿された「Microsoft Patch Tuesday for May 2022 — Snort rules and prominent vulnerabilities
Tags:
