Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft セキュリティ更新プログラム（月例）：2022 年 11 月に公開された脆弱性と、対応する Snort ルール

TALOS Japan
2022年11月30日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、62 件の脆弱性についての情報を公開しました。これらの脆弱性のうち、「緊急」に分類されたものは 8 件で、残りは「重要」に分類されています。

「緊急」の脆弱性のうち 3 件は、Windows Point-to-Point Tunneling Protocol（PPTP）のリモートコード実行（RCE）の脆弱性です。

• CVE-2022-41039
• CVE-2022-41044
• CVE-2022-41088

認証されていない攻撃者が、細工された要求を RAS（リモートアクセスサーバー）に送信して、リモートでコードを実行する可能性があります。Microsoft 社によると、攻撃者は複雑な競合状態に勝つ必要があるため、この 3 件の脆弱性がエクスプロイトされる可能性は低いということです。2022 年 8 月にリリースされた月例のセキュリティ更新プログラムでも、Windows PPTP の脆弱性が複数公開されていました。

今月のリリースで注目すべきもう 1 件の脆弱性は CVE-2022-41118 です。これは、スクリプト言語の JScript9 と Chakra の両方に対するリモートコード実行の脆弱性です。この脆弱性もエクスプロイトするには競合状態に勝つ必要がありますが、Microsoft 社はエクスプロイトされる可能性が高いと判断しています。CVE-2022-41118 をエクスプロイトするには、ユーザーが悪意のあるサーバー共有または Web サイトにアクセスするよう仕向ける必要があります。この要件を満たすため、フィッシングメールまたは別の形式のソーシャルエンジニアリングの手口が使われる可能性があります。

「緊急」とされている脆弱性のうちの 2 件は、Windows Kerberos の特権昇格の脆弱性です。Microsoft 社は、どちらの脆弱性もエクスプロイトされる可能性が高いと判断しています。

• CVE-2022-37966 Windows Kerberos RC4-HMAC の特権昇格の脆弱性
• CVE-2022-37967 Windows Kerberos の特権昇格の脆弱性

CVE-2022-37966 は、Windows Kerberos の特権昇格の脆弱性です。認証されていない攻撃者が RFC 4757（Kerberos 暗号化タイプ RC4-HMAC-MD5）および MS-PAC（特権属性証明書データ構造仕様）の脆弱性をエクスプロイトすることで、Windows AD 環境で制約付き委任のセキュリティ機能をバイパスできるようになる可能性があります。攻撃条件の複雑さは「高」となっています。

CVE-2022-37967 は、Windows Kerberos のもう 1 つの特権昇格の脆弱性です。認証されている攻撃者が Windows Kerberos AES-SHA1 暗号スイートの暗号化プロトコルの脆弱性を利用する可能性があります。攻撃者が、委任が許可されているサービスの制御の獲得に成功した場合、Kerberos PAC を変更して特権を昇格させることができます。CVE-2022-37966 とは対照的に、攻撃条件の複雑さは「低」とされています。

今月のリリースには、Windows Hyper-V のサービス拒否の脆弱性である CVE-2022-38015 も含まれています。これは、Windows 10 および 11 ホストのほか、Windows Server 2016 および 2022 に影響します。攻撃条件の複雑さは「低」となっていますが、Microsoft 社は「悪用される可能性は低い」と判断しています。

最後に取り上げる「緊急」の脆弱性 CVE-2022-41080 は、Microsoft Exchange Server の特権昇格の脆弱性です。攻撃条件の複雑さは「低」で、「悪用される可能性が高い」とされています。CVE-2022-41080 の影響を受ける Microsoft Exchange Server のバージョンは以下のとおりです。

• Microsoft Exchange Server 2013 の累積的な更新プログラム 23
• Microsoft Exchange Server 2016 の累積的な更新プログラム 22
• Microsoft Exchange Server 2016 の累積的な更新プログラム 23
• Microsoft Exchange Server 2019 の累積的な更新プログラム 11
• Microsoft Exchange Server 2019 の累積的な更新プログラム 12

3 件の「重要」の脆弱性にも注目しておきたいと思います。Microsoft 社は、これらの脆弱性が実際に悪用されていることを確認しています。

• CVE-2022-41091：Windows Mark of the Web セキュリティ機能のバイパスの脆弱性
• CVE-2022-41073：Windows 印刷スプーラーの特権昇格の脆弱性
• CVE-2022-41125：Windows CNG キー分離サービスの特権昇格の脆弱性

Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今月のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、60815 ～ 60816、60818 ～ 60819、60820 ～ 60821、60822 ～ 60823、60831 ～ 60832、60833 ～ 60834 です。Snort 3 では、300309、300310、300311、300312、300315、300316 の各ルールでもこれらの脆弱性から保護できます。

本稿は 2022 年 11 月 08 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for November 2022 — Snort rules and prominent vulnerabilities」の抄訳です。

• セキュリティ更新プログラム