Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された脆弱性についての情報と更新プログラムを公開しました。今月に公開、修正された脆弱性
は 117 件です。内訳は 25 件が「緊急」、1 件が「警告」、91 件が「重要」です。
今月のセキュリティ更新プログラムで対象となったのは、Microsoft Media Foundation、GDI+ API、Windows Defender などです。
これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが、本日 Talos から提供されています。詳しくは>こちらをご覧ください。
「緊急」と評価された脆弱性
Microsoft 社は今月、「緊急」と評価された 25 件の脆弱性を公開しました。今回はそのうちの 20 件に注目します。
CVE-2020-0684 は、Microsoft Windows で確認されたリモートコード実行の脆弱性です。細工された悪意のある .LNK ファイルをユーザが開くと発現します。この .LNK ファイルは、リムーバブルドライブやリモート共有を介して被害者に表示される可能性があります。ファイルを開くと、内部に埋め込まれた悪意のあるバイナリが実行されます。
CVE-2020-0801、CVE-2020-0807、CVE-2020-0809 および CVE-2020-0869 は、Microsoft Media Foundation で確認されたメモリ破壊の脆弱性です。これらの脆弱性は、攻撃者によるプログラムのインストール、データの表示、変更、削除、新しいユーザアカウントの作成などを許す危険性があります。脆弱性がエクスプロイトされる可能性があるのは、細工された悪意のあるファイルや Web ページをユーザが開いた場合です。最も考えられる攻撃手段は、悪意のあるリンクや添付ファイルを送り付けるスパムメールです。
CVE-2020-0823、CVE-2020-0825、CVE-2020-0826、CVE-2020-0827、CVE-2020-0828、CVE-2020-0829、CVE-2020-0831、CVE-2020-0832、CVE-2020-0833 および CVE-2020-0848 は、いずれも ChakraCore スクリプトエンジンがメモリ内オブジェクトを処理する方法に起因する、メモリ破損の脆弱性です。攻撃者がエクスプロイトに成功した場合、メモリ破損が引き起こされ、ログインユーザの権限で任意コードを実行される危険性があります。
CVE-2020-0824 および CVE-2020-0847 は、VBScript エンジンで確認されたリモートコード実行の脆弱性です。脆弱性のエクスプロイト手段としては、細工された Web サイトを Internet Explorer で開くよう誘導する手口や、Internet Explorer レンダリングエンジンをホストするアプリケーションや Microsoft Office ドキュメント内で ActiveX コントロールを「実行しても安全」だとマークする手口などが考えられます。これらの脆弱性をエクスプロイトするにはユーザによる特定操作が必要なため、攻撃者はソーシャルエンジニアリングを使用する必要があります。
CVE-2020-0881 および CVE-2020-0883 は、GDI+(C / C++ プログラマ向け API)で確認されたリモートコード実行の脆弱性です。攻撃者は、細工された不正な Web サイトをホストし、ユーザを誘導してそれを開かせることで、脆弱性をエクスプロイトできる可能性があります。脆弱性を突いた不正なドキュメントを電子メールなどで送り付けてユーザに開かせる手口も考えられます。
その他の「緊急」と評価された脆弱性は次のとおりです。
「重要」と評価された脆弱性
今月のセキュリティ更新プログラムでは、91 件の脆弱性が「重要」と評価されました。今回はそのうちの 5 件に注目します。
CVE-2020-0850、CVE-2020-0851、CVE-2020-0852 および CVE-2020-0855 は、いずれも Microsoft Word がメモリ内オブジェクトを処理する方法に起因する、リモートコード実行の脆弱性です。攻撃者がエクスプロイトに成功した場合、不正な Word ドキュメントを介して、ログインユーザの権限で不正操作を実行される危険性があります。不正な Word ドキュメントの最も考えられる配布手段はスパムメールです。
CVE-2020-0761 は、Microsoft Office で確認された特権昇格の脆弱性です。攻撃者はこの脆弱性を利用することで、正規のファイルを不正なファイルに置き換え、その後システムレベルで OLicenseHeartbeat タスクを実行し、メモリを破損させる可能性があります。今月公開された他のリモートコード実行の脆弱性と併用された場合、ログインユーザよりも高い権限で攻撃を実行され、より重大な被害を受ける危険性があります。
その他の「重要」と評価された脆弱性は次のとおりです。
- CVE-2020-0645
- CVE-2020-0690
- CVE-2020-0700
- CVE-2020-0758
- CVE-2020-0762
- CVE-2020-0763
- CVE-2020-0769
- CVE-2020-0770
- CVE-2020-0771
- CVE-2020-0772
- CVE-2020-0773
- CVE-2020-0774
- CVE-2020-0775
- CVE-2020-0776
- CVE-2020-0777
- CVE-2020-0778
- CVE-2020-0779
- CVE-2020-0780
- CVE-2020-0781
- CVE-2020-0783
- CVE-2020-0785
- CVE-2020-0786
- CVE-2020-0787
- CVE-2020-0788
- CVE-2020-0789
- CVE-2020-0791
- CVE-2020-0793
- CVE-2020-0795
- CVE-2020-0797
- CVE-2020-0798
- CVE-2020-0799
- CVE-2020-0800
- CVE-2020-0802
- CVE-2020-0803
- CVE-2020-0804
- CVE-2020-0806
- CVE-2020-0808
- CVE-2020-0810
- CVE-2020-0813
- CVE-2020-0814
- CVE-2020-0815
- CVE-2020-0819
- CVE-2020-0820
- CVE-2020-0822
- CVE-2020-0834
- CVE-2020-0835
- CVE-2020-0840
- CVE-2020-0841
- CVE-2020-0842
- CVE-2020-0843
- CVE-2020-0844
- CVE-2020-0845
- CVE-2020-0853
- CVE-2020-0854
- CVE-2020-0857
- CVE-2020-0858
- CVE-2020-0859
- CVE-2020-0860
- CVE-2020-0861
- CVE-2020-0863
- CVE-2020-0864
- CVE-2020-0865
- CVE-2020-0866
- CVE-2020-0867
- CVE-2020-0868
- CVE-2020-0871
- CVE-2020-0872
- CVE-2020-0874
- CVE-2020-0876
- CVE-2020-0877
- CVE-2020-0879
- CVE-2020-0880
- CVE-2020-0882
- CVE-2020-0884
- CVE-2020-0885
- CVE-2020-0887
- CVE-2020-0891
- CVE-2020-0892
- CVE-2020-0893
- CVE-2020-0894
- CVE-2020-0896
- CVE-2020-0897
- CVE-2020-0898
- CVE-2020-0902
- CVE-2020-0903
- CVE-2020-0849
「重要」と評価された脆弱性
今月は 1 件の脆弱性 CVE-2020-0765 が「警告」と評価されました。
カバレッジ
Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今月の脆弱性に対応するルールは、52213、52214、53402 ~ 53409、53414 ~ 53419、および 53420 ~ 53424 です。
本稿は 2020年3月10日に Talos Group
Authors