Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Microsoft セキュリティ更新プログラム(月例):2023 年 1 月に公開された脆弱性と、対応する Snort ルール


2023年1月19日

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、98 件の脆弱性についての情報を公開しました。これらの脆弱性のうち、「緊急」に分類されたものは 11 件、「重要」に分類されたものは 87 件です。「警告」に分類されたものはありませんでした。

Microsoft 社によると、CVE-2023-21743(Microsoft SharePoint Server マシンのセキュリティバイパスの脆弱性)以外の「緊急」の脆弱性は悪用される可能性が低いか、その可能性はほとんどないとのことです。CVE-2023-21743 の脆弱性は攻撃条件の複雑さが「低」のため、攻撃者から簡単に悪用されます。ネットワーク経由で攻撃され、認証されていないユーザーが標的の SharePoint サーバーに匿名で接続する可能性があります。

攻撃条件の複雑さが「高」のため Microsoft 社が「悪用される可能性は低い」としている「緊急」の脆弱性の 2 件が、CVE-2023-21535CVE-2023-21548 です。これらは、Windows Secure Socket Tunneling Protocol(SSTP)のリモートコード実行(RCE)の脆弱性で、認証されていない攻撃者が細工された接続要求を RAS サーバーに送信できるようになります。その結果、RAS サーバーでのリモートコード実行(RCE)が可能になり、侵害を受けたシステムで攻撃者が不正なコマンドを実行する恐れがあります。

Windows Layer 2 Tunneling Protocol(L2TP)に影響を与える 5 件の「緊急」のリモートコード実行の脆弱性もあります。エクスプロイトが成功すると、認証されていない攻撃者が RAS サーバーでコードを実行できるようになる可能性があります。CVE-2023-21543CVE-2023-21546CVE-2023-21555CVE-2023-21556CVE-2023-21679 の 5 件です。

最後に取り上げる「緊急」の脆弱性は CVE-2023-21730 です。これは、Windows Cryptographic Services のリモートコード実行の脆弱性です。Microsoft 社はこの脆弱性について、ネットワーク経由で攻撃されること、および攻撃条件の複雑さが「低」であること以外は詳細を公開していません。

「重要」に分類されている CVE-2023-21779(Visual Studio Code(VSCode)のリモートコード実行の脆弱性)は、開発者にもリスクを及ぼす脆弱性です。VSCode で悪意のあるファイルを開くように仕向けられますが、知らないファイルや安全だと確信を持てないファイルは決して開かないようにしてください。

この他に「重要」とされている脆弱性を 6 件挙げておきます。Microsoft 社によると、いずれも「悪用される可能性が高い」脆弱性であり、特権昇格に使用される恐れがあります。

  • CVE-2023-21532:Windows GDI の特権昇格の脆弱性
  • CVE-2023-21541:Windows タスクスケジューラの特権昇格の脆弱性
  • CVE-2023-21552:Windows GDI の特権昇格の脆弱性
  • CVE-2023-21725:Microsoft Windows Defender の特権昇格の脆弱性
  • CVE-2023-21726:Windows 資格情報マネージャー ユーザー インターフェイスの特権昇格の脆弱性
  • CVE-2023-21768:WinSock 用 Windows Ancillary Function Driver の特権昇格の脆弱性

Microsoft 社のアドバイザリで「重要」とされている脆弱性は他にも多数あります。Microsoft Office や 3D Builder アプリケーション、Microsoft ODBC ドライバなどの脆弱性です。Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、61060 ~ 61065 です。Snort 3 では、300358 ~ 300360 の各ルールでもこれらの脆弱性から保護できます。

 

本稿は 2023 年 01 月 10 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for January 2023 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

Tags:
コメントを書く