Cisco Japan Blog / 脅威リサーチ / Microsoft セキュリティ更新プログラム（月例）：2019 年 5 月の脆弱性開示と Snort カバレッジ

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の製品に含まれるさまざまな脆弱性を公開しました。今月のセキュリティ更新プログラムでは 79 件の新たな脆弱性が修正されています。そのうち 22 件が「緊急」、55 件が「重要」、1 件が「警告」と評価されています。Microsoft Live アカウント関連、および Adobe Flash Player のアップデート関連の 2 件の重要なアドバイザリも同時に公開されました。

今月のセキュリティ更新プログラムでは、スクリプト エンジン、Microsoft Edge Web ブラウザ、GDI など、複数の Microsoft 製品で確認されたセキュリティ問題が修正されています。修正内容の詳細は、こちらの Snort ブログ記事をご覧ください。記事では、関連する新しい Snort ルールもすべて記載しています。

「緊急」と評価された脆弱性

Microsoft 社は今月 22 件の「緊急」レベルの脆弱性を公開しました。今回はそのうち 7 件に注目します。

CVE-2019-0884、CVE-2019-0911、CVE-2019-0918 は、Microsoft のブラウザのスクリプト エンジンに存在する脆弱性で、メモリ内オブジェクトを処理する際に発生します。これらの脆弱性が引き起こすメモリ破損によって、攻撃者は現在のユーザのコンテキストでコードをリモート実行できるようになります。攻撃者は、Microsoft の Web ブラウザを使用中のユーザを騙して細工された Web サイトにアクセスさせる方法や、「初期化しても安全」のマークがついた ActiveX コントールを、ブラウザのレンダリング エンジンを使用する特定のアプリケーションや Microsoft Office 文書に組み込む方法で、この脆弱性をエクスプロイトします。

CVE-2019-0903は、GDI + API においてコードがリモート実行される脆弱性です。この脆弱性が悪用されると、システムが完全に乗っ取られ、現行ユーザのコンテキストでプログラムを実行、インストール、削除される可能性があります。攻撃者は、ユーザを騙して不正な Web サイトにアクセスさせる方法や、言葉巧みに電子メールで悪意のある添付ファイルを開かせるなどの方法で、この脆弱性をエクスプロイトします。

CVE-2019-0926 は Microsoft Edge で確認されたメモリ破損の脆弱性です。Web ブラウザがメモリ内オブジェクトに不適切にアクセスする場合に発生します。攻撃者は、ユーザを騙して Edge から細工された Web ページにアクセスさせる方法でこの脆弱性をエクスプロイトします。その結果、攻撃者はメモリ破損を引き起こして現行ユーザのコンテキストでコードをリモート実行できるようになります。

CVE-2019-0929 は、Microsoft Internet Explorer で確認されたメモリ破損の脆弱性です。Web ブラウザがメモリ内オブジェクトを処理する方法に起因します。攻撃者は、ユーザを騙して Internet Explorer から細工された Web ページにアクセスさせる方法でこの脆弱性をエクスプロイトします。その結果、攻撃者はメモリ破損を引き起こして現行ユーザのコンテキストでコードをリモート実行できるようになります。

CVE-2019-0708 は、リモート デスクトップ サービス（旧称ターミナル サービス）でコードがリモート実行される脆弱性です。この脆弱性のエクスプロイトには、ユーザの操作も事前認証も必要ありません。この脆弱性が「ワーム化」する、つまり、今後出てくるマルウェアがシステムからシステムへと自身を拡散させる目的でこの脆弱性を悪用する可能性があるという理由から、Microsoft はこの問題について特別な警告を行いました。攻撃者は、RDP 経由で標的システムのリモート デスクトップ サービスに細工したリクエストを送信する方法で、この脆弱性をエクスプロイトします。

その他の「緊急」と評価された脆弱性は次のとおりです。

• CVE-2019-0940
• CVE-2019-0725
• CVE-2019-0912
• CVE-2019-0913
• CVE-2019-0914
• CVE-2019-0915
• CVE-2019-0916
• CVE-2019-0917
• CVE-2019-0922
• CVE-2019-0924
• CVE-2019-0925
• CVE-2019-0927
• CVE-2019-0933
• CVE-2019-0937
• CVE-2019-0953

「重要」と評価された脆弱性

今月のセキュリティ更新プログラムでは、55 件の脆弱性が「重要」と評価されました。今回は そのうち 1 件に注目します。

CVE-2019-0885 は、Windows の OLE がユーザ入力の検証に失敗した場合に発生するリモートコード実行の脆弱性です。 攻撃者は、システム上で悪意のあるコードを実行できるように、この脆弱性をエクスプロイトします。この脆弱性はユーザが細工されたファイルやプログラムを開いた場合に悪用され、その結果、Windows 上で目的のコードが実行されます。

その他の重要な脆弱性は次のとおりです。

• CVE-2019-0707
• CVE-2019-0727
• CVE-2019-0733
• CVE-2019-0734
• CVE-2019-0758
• CVE-2019-0819
• CVE-2019-0820
• CVE-2019-0863
• CVE-2019-0864
• CVE-2019-0872
• CVE-2019-0881
• CVE-2019-0882
• CVE-2019-0886
• CVE-2019-0889
• CVE-2019-0890
• CVE-2019-0891
• CVE-2019-0892
• CVE-2019-0893
• CVE-2019-0894
• CVE-2019-0895
• CVE-2019-0896
• CVE-2019-0897
• CVE-2019-0898
• CVE-2019-0899
• CVE-2019-0900
• CVE-2019-0901
• CVE-2019-0902
• CVE-2019-0921
• CVE-2019-0923
• CVE-2019-0930
• CVE-2019-0931
• CVE-2019-0932
• CVE-2019-0936
• CVE-2019-0938
• CVE-2019-0942
• CVE-2019-0945
• CVE-2019-0946
• CVE-2019-0947
• CVE-2019-0949
• CVE-2019-0950
• CVE-2019-0951
• CVE-2019-0952
• CVE-2019-0956
• CVE-2019-0957
• CVE-2019-0958
• CVE-2019-0961
• CVE-2019-0963
• CVE-2019-0976
• CVE-2019-0979
• CVE-2019-0980
• CVE-2019-0981
• CVE-2019-0982
• CVE-2019-0995
• CVE-2019-1000
• CVE-2019-1008

「警告」と評価された脆弱性

「警告」レベルの脆弱性は、Azure DevOps で発見された情報漏えいの脆弱性（CVE-2019-0971）の 1 件です。

カバレッジ

今回開示された脆弱性への攻撃を検出できるよう、Talos では以下の SnortⓇ ルールをリリースしました。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。Firepower のお客様は最新のルールセットを利用できるよう、SRU を更新してください。オープン ソースの Snort サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、最新状態を維持できます。

Snort ルール：50068-50091、50115-50119、50120-50122

本稿は 2019年5月14日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — May 2019: Vulnerability disclosures and Snort coverage」の抄訳です。

Authors

TALOS Japan