Cisco Japan Blog

Microsoft セキュリティ更新プログラム(月例):2023 年 2 月に公開された脆弱性と、対応する Snort ルール

1 min read



Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、73 件の脆弱性についての情報を公開しました。これらの脆弱性のうち、「緊急」に分類されたものは 8 件、「重要」に分類されたものは 64 件、「警告」に分類されたものは 1 件です。

Microsoft 社によると、この更新プログラムより先に公開された脆弱性はなく、悪用の事実が確認されている脆弱性は 3 件のみだということです。そのうち最も深刻なのが CVE-2023-21823 で、これは Windows グラフィックス コンポーネントに見られるリモートコード実行の脆弱性です。CVE-2023-21715 は Microsoft Publisher のセキュリティ機能がバイパスされる脆弱性で、これについては以下で説明します。CVE-2023-23376 はローカルの Windows 共通ログファイル システムドライバの特権昇格の脆弱性です。

Microsoft 社が「悪用される可能性が高い」としている最も「緊急」な脆弱性の 3 件が、CVE-2023-21689CVE-2023-21690CVE-2023-21692 です。これらは、Microsoft Protected Extensible Authentication Protocol(PEAP)のリモートコード実行(RCE)の脆弱性です。攻撃者が認証されたユーザーとして、ネットワーク呼び出しを通じてサーバーアカウントのコンテキストで悪意のあるコードを実行しようとする恐れがあります。最新の Windows 11 を含む、ほぼすべての Windows バージョンにこの脆弱性があります。

その他の「緊急」の脆弱性については、Microsoft 社は「悪用される可能性は低い」としています。CVE-2023-21716 は Microsoft Word のリモートコード実行の脆弱性で、「緊急」に分類されています。認証されていない攻撃者がアプリケーション内でコマンドを実行する権限を取得して、悪意のあるファイルを開くために利用するというものです。

CVE-2023-21808(.NET と Visual Studio のリモートコード実行の脆弱性)と CVE-2023-21815(同様に Visual Studio のリモートコード実行の脆弱性)は、開発者にリスクを及ぼす脆弱性です。どちらも任意コード実行(ACE)につながる恐れがあります。

最後に取り上げる「緊急」の脆弱性は CVE-2023-21803 です。この脆弱性は、Microsoft iSCSI Discovery Service が特定の要求を処理する方法に存在します。攻撃者は、細工された悪意のある DHCP 検出要求を 32 ビットマシン上の iSCSI Discovery Service に送信できる可能性があります。

「重要」に分類されている脆弱性の中で注意していただきたいのは、Microsoft Office のセキュリティ機能がバイパスされる脆弱性である CVE-2023-21715 です。この脆弱性を悪用すれば、攻撃者が Mark of the Web(MoTW)のポリシーをバイパスできるようになります。インターネットから取得したドキュメントについては、通常は MoTW によってマクロの実行がブロックされています。攻撃者は Microsoft Publisher で悪意のあるファイルを開くように仕向けてきますが、知らないファイルや安全だと確信を持てないファイルは決して開かないことを強く推奨します。

「重要」の脆弱性の中で他に注意が必要なのは、以下に挙げているリモートコード実行の脆弱性です。いずれも Microsoft Exchange Server に影響を与えます。

  • CVE-2023-21529 – 攻撃条件の複雑さは「低」、攻撃者は認証済みユーザーである必要がある
  • CVE-2023-21706 – 攻撃条件の複雑さは「低」、攻撃者は認証済みユーザーである必要がある
  • CVE-2023-21707 – 攻撃条件の複雑さは「低」、攻撃者は認証済みユーザーである必要がある
  • CVE-2023-21710 – 攻撃条件の複雑さは「低」、攻撃者は認証済み管理者である必要がある

Microsoft 社のアドバイザリで「重要」とされている脆弱性は他にも多数あります。Windows Kerberos および Active Directory サービスなどの脆弱性です。Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。

Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、57907、61312 ~ 61315、61320、61321、61357、61359 です。Snort 3 では、300416、300417、300420、300438、300439 の各ルールでもこれらの脆弱性から保護できます。

 

本稿は 2023 年 02 月 14 日に Talos Grouppopup_icon のブログに投稿された「Microsoft Patch Tuesday for February 2023 — Snort rules and prominent vulnerabilitiespopup_icon」の抄訳です。

 

コメントを書く