Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェアおよびソフトウェアの大規模なコレクションで確認された 102 件の脆弱性についての情報を公開しました。今回 Microsoft 社が公開した脆弱性の件数は、この 8 か月間の月例セキュリティ更新プログラムの中で最多となりましたが、Microsoft 社によると実際にエクスプロイトされている脆弱性はありません。
2022 年最初のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 9 件で、残りは 1 件を除き「重要」と評価されています。
CVE-2022-21840 は「緊急」と評価された Microsoft Office の脆弱性で、エクスプロイトされると標的のマシンでリモートコードが実行される危険性があります。CVE-2022-21841、CVE-2022-21837、CVE-2022-21842 も Office 製品スイートにおけるリモートコード実行の脆弱性ですが、評価は「重要」となっています。以上の 4 件の脆弱性には特に注意する必要があります。細工した文書を標的に開かせるという攻撃者がよく使用する戦術によってトリガーされる危険性があるためです。
Microsoft 社の Web ブラウザである Microsoft Edge にはリモートコード実行の脆弱性が 3 件(CVE-2022-21931、CVE-2022-21930、CVE-2022-21929)含まれています。前述の Office の脆弱性と同様に、これらも簡単にトリガーできる脆弱性であり、マルウェアを拡散するための侵入経路として攻撃者が悪用する危険性があります。
Microsoft Exchange Server の CVE-2022-21846 も「緊急」と評価された脆弱性の中で特に注意が必要です。Microsoft 社はこの脆弱性が攻撃者によってエクスプロイトされる「可能性が高い」と考えています。Exchange Server にはほかにも「重要」と評価された脆弱性が 2 件(CVE-2022-21969、CVE-2022-21855)あり、標的のサーバーでリモートコードが実行される危険性があります。ただし、これらの脆弱性はインターネットを通じてエクスプロイトすることはできず、攻撃するには標的に関連付けられているアクセス手段が必要になります。たとえば Bluetooth デバイスを通じて物理共有ネットワークにアクセスしたり、安全な管理ドメイン内からアクセスしたりする必要があります。
昨年は Microsoft Exchange Server の一連のゼロデイ脆弱性が Hafnium APT などの攻撃者によって活発にエクスプロイトされて攻撃されました。また 11 月にも Babuk ランサムウェアが同じ脆弱性をエクスプロイトして標的を攻撃したことが確認されました。
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。
Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように以下の SNORTⓇ ルールをリリースしました。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、40689、40690、58859、58860、58866 ~ 58869、58870 ~ 58875 です。
本稿は 2022 年 01 月 11 日に Talos Group のブログに投稿された「Microsoft Patch Tuesday for Jan. 2022 — Snort rules and prominent vulnerabilities」の抄訳です。