Cisco Japan Blog / 脅威リサーチ / Microsoft セキュリティ更新プログラム（月例）：2019 年 11 月の脆弱性開示と Snort カバレッジ

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、複数の同社製品に含まれるさまざまな脆弱性を公開しました。最新のセキュリティ更新プログラムでは 75 件の脆弱性が公開されています。そのうち 13 件は「緊急」、他の 62 件は「重要」と評価されています。

これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事をご覧ください。

「緊急」と評価された脆弱性

Microsoft 社は今月、「緊急」と評価された 13 件の脆弱性を公開しました。今回ご紹介するのは以下の 9 件です。

CVE-2019-0721、CVE-2019-1389、CVE-2019-1397、CVE-2019-1398 はすべて Windows Hyper-V の脆弱性です。攻撃者が任意コードをリモートで実行できる可能性があります。ホストサーバ上の Hyper-V でゲスト OS の認証ユーザからの入力が正しく検証されないことに起因しています。攻撃者は、特別に細工したアプリケーションをゲスト OS 上で実行することにより、これらの脆弱性をエクスプロイトできます。これにより、ハイパーバイザまたはサンドボックスにエスケープ攻撃を実行されるおそれがあります。

CVE-2019-1390 は VBScript でリモートでコードが実行される脆弱性です。この脆弱性がメモリ破損を引き起こし、現在のユーザの権限でリモートコードを実行される危険性があります。この脆弱性は、攻撃者が作成した Web サイトを Internet Explorer ブラウザで閲覧したり、「安全に初期化可能」とマークされている ActiveX コントロールを含む Office ドキュメントやアプリケーションを開いたりすることで、悪用される可能性があります。

CVE-2019-1426、CVE-2019-1427、CVE-2019-1428、CVE-2019-1429 は Microsoft スクリプトエンジンのメモリ破損の脆弱性であり、リモートでコードが実行されるおそれがあります。Microsoft Edge Web ブラウザがメモリのオブジェクトを処理する方法にバグがあります。これらの脆弱性は、攻撃者がコントロールする Web サイトを Edge で閲覧することで、悪用される可能性があります。

その他の「緊急」と評価された 4 つの脆弱性は次のとおりです。

• CVE-2019-1373
• CVE-2019-1419
• CVE-2019-1430
• CVE-2019-1441

「重要」と評価された脆弱性

今月のセキュリティ更新プログラムでは、62 件の脆弱性が「重要」と評価されました。今回はそのうちの 1 件に注目します。

CVE-2019-1020 は Windows セキュアブートプロセスでセキュリティ機能がバイパスされる脆弱性です。攻撃者は、特別に細工したアプリケーションを実行して、セキュアブートをバイパスし、悪意のあるソフトウェアをロードする可能性があります。このセキュリティ更新プログラムでは、脆弱性のあるサードパーティ製ブートローダをブロックすることで問題を解決しています。また、Windows Defender にも更新プログラムを適用する必要があります。

その他の「重要」と評価された脆弱性は次のとおりです。

• CVE-2018-12207
• CVE-2019-0712
• CVE-2019-11135
• CVE-2019-1234
• CVE-2019-1309
• CVE-2019-1310
• CVE-2019-1324
• CVE-2019-1370
• CVE-2019-1374
• CVE-2019-1379
• CVE-2019-1380
• CVE-2019-1381
• CVE-2019-1382
• CVE-2019-1383
• CVE-2019-1384
• CVE-2019-1385
• CVE-2019-1388
• CVE-2019-1391
• CVE-2019-1392
• CVE-2019-1393
• CVE-2019-1394
• CVE-2019-1395
• CVE-2019-1396
• CVE-2019-1399
• CVE-2019-1402
• CVE-2019-1405
• CVE-2019-1406
• CVE-2019-1407
• CVE-2019-1408
• CVE-2019-1409
• CVE-2019-1411
• CVE-2019-1412
• CVE-2019-1413
• CVE-2019-1415
• CVE-2019-1416
• CVE-2019-1417
• CVE-2019-1418
• CVE-2019-1420
• CVE-2019-1422
• CVE-2019-1423
• CVE-2019-1424
• CVE-2019-1425
• CVE-2019-1432
• CVE-2019-1433
• CVE-2019-1434
• CVE-2019-1435
• CVE-2019-1436
• CVE-2019-1437
• CVE-2019-1438
• CVE-2019-1439
• CVE-2019-1440
• CVE-2019-1442
• CVE-2019-1443
• CVE-2019-1445
• CVE-2019-1446
• CVE-2019-1447
• CVE-2019-1448
• CVE-2019-1449
• CVE-2019-1456
• CVE-2019-0721
• CVE-2019-1373

カバレッジ

Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今回該当する Snort ルールは、46548、46549、52205 ～ 52209、52212、52213、52216、52217 ～ 52225、52228 ～ 52234、52239、52240 です。

本稿は 2019年11月12日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — Nov. 2019: Vulnerability disclosures and Snort coverage」の抄訳です。

Authors

TALOS Japan