Cisco Japan Blog / 脅威リサーチ / Microsoft 社セキュリティ更新プログラム（月例）：2020 年 4 月の脆弱性開示と Snort カバレッジ

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された脆弱性についての情報と更新プログラムを公開しました。今月に公開、修正された脆弱性は 115 件です。公開された不具合のうち、19 件が「緊急」と評価されています。その他の更新の評価は「重要」です。

今月のセキュリティ更新プログラムでは、SharePoint、Windows フォントライブラリ、Windows カーネルなどの同社製品とサービスで確認されたセキュリティの問題が修正されています。Microsoft Media Foundation における情報漏えいの脆弱性 CVE-2020-0939 の発見者は、Cisco Talos のセキュリティ研究者です。詳細については、Talos が発行している「注目の脆弱性」をご覧ください。

これらの脆弱性の一部に対しては、新しい SNORTⓇ ルールによるカバレッジが Talos から提供されています。詳細については関連する Snort ブログ記事をご覧ください。

「緊急」と評価された脆弱性

Microsoft 社は、「緊急」と評価された 19 件の脆弱性を公開しました。今回はそのうちの 10 件に注目します。

CVE-2020-0687 は、Windows フォントライブラリにおけるリモートコード実行の脆弱性です。メモリ内の一部の埋め込みフォントを Windows フォントライブラリが処理する方法に起因しています。このバグは、細工された Web サイトに攻撃対象者を誘導するか、埋め込みフォントが含まれた悪意のあるファイルを開かせる手口でエクスプロイトされる危険性があります。エクスプロイトされた場合、影響を受けるマシンを攻撃者が完全に制御して、新しいプログラムのインストール、データの操作、ユーザアカウントの新規作成を実行できるようになります。

CVE-2020-0907 は、Microsoft Graphics コンポーネントにおけるリモートコード実行の脆弱性です。システムでメモリ内のオブジェクトが適切に処理されない場合に発生します。エクスプロイトされる可能性があるのは、細工されたファイルをユーザが開いた場合のみです。攻撃者により任意コードを実行される危険性があります。

CVE-2020-0929、CVE-2020-0931、CVE-2020-0932 は、Microsoft SharePoint におけるリモートコード実行の脆弱性です。攻撃者がこれらの脆弱性をエクスプロイトするには、細工された SharePoint パッケージを脆弱性のあるバージョンの SharePoint にアップロードする必要があります。アップロードに成功すると、SharePoint アプリケーションプールおよび SharePoint サーバで任意コードを実行される危険性があります。

CVE-2020-0938 および CVE-2020-1020 は、Windows Adobe Type Manager Library におけるリモートコード実行の脆弱性です。それぞれ、特定のタイプの OpenType フォントおよびマルチマスターフォント（Adobe Type 1 PostScript フォント）の処理方法に起因しています。このバグが Windows 10 以外の OS でエクスプロイトされた場合、任意のコードがリモートで実行される危険性があります。Windows 10 の場合は、AppContainer サンドボックス内で限定的な権限を使用してコードが実行される危険性があります。

CVE-2020-0968 および CVE-2020-0970 は、Internet Explorer Web ブラウザに組み込まれている Windows スクリプトエンジンに存在するメモリ破損の脆弱性です。これらのバグが悪用され、特定の方法でメモリ破損が引き起こされると、現在のユーザの権限で任意のコードを実行される危険性があります。脆弱性のエクスプロイトシナリオとしては、Internet Explorer のユーザを不正なサイトに誘導するといった手口が考えられます。それ以外に、Microsoft Office ドキュメントの中や、Internet Explore のレンダリングエンジンをホストするその他のアプリケーションに「安全に初期化可能」と装った ActiveX コントロールを組み込み、攻撃対象者が開くよう誘導する手口も考えられます。

CVE-2020-0969 は、Microsoft Edge Web ブラウザの Chakra スクリプトエンジンにおけるメモリ破損の脆弱性です。攻撃者は、細工された悪意のある Web サイトにユーザを誘導するという手口でこの不具合をエクスプロイトします。結果として攻撃対象者のマシンでメモリ破損が発生すると、現在のユーザの権限で任意コードを実行される危険性があります。

今月公開された、「緊急」と評価されているその他の脆弱性は次のとおりです。

• CVE-2020-0910 
• CVE-2020-0927
• CVE-2020-0948
• CVE-2020-0949
• CVE-2020-0950
• CVE-2020-0965
• CVE-2020-0967
• CVE-2020-0974
• CVE-2020-1022

「重要」と評価された脆弱性

今月のセキュリティ更新プログラムでは、96 件の脆弱性が「重要」と評価されました。今回ご紹介するのは以下の 8 件です。

CVE-2020-0760 は、Microsoft Office におけるリモートコード実行の脆弱性です。細工された悪意のある Office ドキュメントを攻撃対象者が開くと発生します。この不具合が発生するのは、Office で特定のタイプのライブラリが適切に処理されない場合です。攻撃者により、現在のユーザの権限で任意のコードが実行される危険性があります。

CVE-2020-0784 は DirectX における特権昇格の脆弱性です。攻撃者により、カーネルモードで任意のコードが実行される危険性があります。この不具合をエクスプロイトするには、影響を受けるシステムにログオンした後、細工されたアプリケーションを実行する必要があります。

CVE-2020-0956、CVE-2020-0957、CVE-2020-0958 は、いずれも Windows カーネルモードドライバにおける特権昇格の脆弱性です。攻撃者により、カーネルモードで任意のコードが実行される危険性があります。この不具合をエクスプロイトするには、影響を受けるシステムにログオンした後、細工されたアプリケーションを実行する必要があります。

CVE-2020-1004 は、Windows Graphics Component における特権昇格の脆弱性です。この脆弱性をローカル環境でエクスプロイトするには、細工されたアプリケーションを攻撃対象者のマシンで実行する必要があります。エクスプロイトに成功すると、特定のプロセスを昇格後の権限で実行できるようになります。

CVE-2020-1005 は、Windows Graphics Component における情報漏えいの脆弱性です。メモリ内のオブジェクトがソフトウェアで適切に処理されない場合に発生します。この不具合がエクスプロイトされる危険性があるのは、影響を受けるマシンに攻撃者がログオンし、細工されたアプリケーションを実行した場合です。被害者のマシンにある機密情報が漏えいし、攻撃者によって悪用される危険性があります。

CVE-2020-1027 は、Windows カーネルにおける特権昇格の脆弱性です。攻撃者により、昇格後の権限で任意のコードが実行される危険性があります。攻撃者は、ローカルで認証を受けた後、細工されたアプリケーションを実行する必要があります。

その他の「重要」と評価された脆弱性は次のとおりです。

• CVE-2020-0699
• CVE-2020-0794
• CVE-2020-0821
• CVE-2020-0835
• CVE-2020-0888
• CVE-2020-0889
• CVE-2020-0895
• CVE-2020-0899
• CVE-2020-0900
• CVE-2020-0906
• CVE-2020-0913
• CVE-2020-0917
• CVE-2020-0918
• CVE-2020-0919
• CVE-2020-0920
• CVE-2020-0923
• CVE-2020-0924
• CVE-2020-0925
• CVE-2020-0926
• CVE-2020-0930
• CVE-2020-0933
• CVE-2020-0934
• CVE-2020-0935
• CVE-2020-0936
• CVE-2020-0937
• CVE-2020-0938
• CVE-2020-0939
• CVE-2020-0940
• CVE-2020-0942
• CVE-2020-0943
• CVE-2020-0944
• CVE-2020-0945
• CVE-2020-0946
• CVE-2020-0947
• CVE-2020-0952
• CVE-2020-0953
• CVE-2020-0954
• CVE-2020-0955
• CVE-2020-0959
• CVE-2020-0960
• CVE-2020-0961
• CVE-2020-0962
• CVE-2020-0964
• CVE-2020-0966
• CVE-2020-0971
• CVE-2020-0972
• CVE-2020-0973
• CVE-2020-0975
• CVE-2020-0976
• CVE-2020-0977
• CVE-2020-0978
• CVE-2020-0979
• CVE-2020-0980
• CVE-2020-0981
• CVE-2020-0982
• CVE-2020-0983
• CVE-2020-0984
• CVE-2020-0985
• CVE-2020-0987
• CVE-2020-0988
• CVE-2020-0991
• CVE-2020-0992
• CVE-2020-0993
• CVE-2020-0994
• CVE-2020-0995
• CVE-2020-0996
• CVE-2020-0999
• CVE-2020-1000
• CVE-2020-1001
• CVE-2020-1002
• CVE-2020-1003
• CVE-2020-1006
• CVE-2020-1007
• CVE-2020-1008
• CVE-2020-1009
• CVE-2020-1011
• CVE-2020-1014
• CVE-2020-1015
• CVE-2020-1016
• CVE-2020-1017
• CVE-2020-1018
• CVE-2020-1019
• CVE-2020-1020
• CVE-2020-1026
• CVE-2020-1029
• CVE-2020-1049
• CVE-2020-1050
• CVE-2020-1094

カバレッジ

Talos では、今回公開された脆弱性の一部でエクスプロイト試行を検出できるよう、下記の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Firepower のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

Snort ルール：53489 ～ 53492、53619 ～ 53630、53652 ～ 53655

本稿は 2020年4月14日に Talos Group のブログに投稿された「Microsoft Patch Tuesday — April 2020: Vulnerability disclosures and Snort coverage」の抄訳です。

Authors

TALOS Japan