今月の第2火曜日となった2021年10月12日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。Microsoftの修正には、ゼロデイ脆弱性に国家安全保障局(NSA)指摘の脆弱性と注目の脆弱性が含まれています
■Adobe社による2021年10月のセキュリティアップデート
10月Adobe社は、「Adobe Reader」、「Adobe Acrobat Reader for Android」、「Adobe Campaign Standard」、「Adobe Commerce」、「Adobe ops-cli」、「Adobe Connect」に確認された10件の脆弱性を修正する6つのパッチをリリースしました。 Adobe Acrobatのアップデートにより、合計4件の脆弱性が修正されます。このうち2件は深刻度「Critical(緊急)」、2件は「Moderate(警告)」と評価されています。このうち2件については、トレンドマイクロの「ZDI program」を通して確認されたものです。「緊急」評価の2件はリモートコード実行が可能になる脆弱性、「警告」評価の2件は特権昇格が可能になる脆弱性です。 Adobe Acrobat Reader for Androidのアップデートでは、攻撃者によるコードの実行が可能になる「パストラバーサル(path traversal)」の脆弱性が修正されています。これらはすべて、攻撃に利用するためにはWebページの閲覧やPDFファイルを開くなど、何らかの形のユーザによる操作が必要です。
今月はいくつかのクロスサイトスクリプティング(XSS)の脆弱性にパッチが適用されています。Adobe Campaign Standardのパッチは、DOMベースのXSSの脆弱性を修正します。 Adobe Commerceのパッチは、保存されたXSSの修正に対応しています。 Adobe Connectのパッチは、2つの脆弱性を修正しており、そのうちの1つはリフレクティブXSSです。もう1つは、リモートコード実行を可能にする、より緊急度の高い逆シリアル化の脆弱性です。 10月のAdobeのパッチの最後は、クラウド自動化のためのTerraform、Ansible、およびSSHのPythonラッパーであるAdobe ops-cliの「緊急」レベルの逆シリアル化の脆弱性を修正するものです。
Adobe社が今月対処した脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実を確認されているものではありません。
■Microsoft社による2021年10月のセキュリティ更新プログラム
10月、Microsoft社は、「Microsoft Windows」およびWindowsコンポーネント、「Microsoft Edge(Chromiumベース)」、「Microsoft Exchange Server」、「.NETCore & VisualStudio」、「Microsoft Office Services」および「Web Apps」、「SharePoint Server」、「Microsoft Dynamics」、「InTune」、「System Center Operations Manager」に確認された71件の脆弱性に対処するパッチをリリースしました。今月初めにリリースされている8件のMicrosoft Edge(Chromiumベース)のパッチと3件のOpenSSLのパッチを加えても10月リリースされたパッチの合計は82件となり、先月に比べわずかに減少しました。これらの脆弱性のうち11件がZDI programを通じて確認されたものです。
第2火曜日にパッチが適用された71件の脆弱性のうち、2件が深刻度「Critical(緊急)」、68件が「Important(重要)」、1件が「Low(低)」と評価されています。今回対処された脆弱性のうち3件は一般に公開されており、また、1件についてはリリース時に悪用の事実を確認済み、として記載されています。これは、9月30日にパッチが適用された「悪用の事実を確認済み」の2つのChromeの脆弱性に追加されるものです。気になっている方もいるかもしれませんが、今月は最近リリースされたWindows11オペレーティングシステム(OS)のパッチも含まれています。
今月の興味深いアップデートについて、悪用の事実を確認済みとされるカーネルのバグから、詳しく見ていきましょう。
― CVE-2021-40449 ― Win32kの特権昇格の脆弱性
このパッチは、システムの権限昇格に利用することのできるカーネルの脆弱性を修正します。攻撃者は通常、このタイプの脆弱性をコード実行の脆弱性と組み合わせて使用し、標的システムを乗っ取ります。報告の経緯を見ると、この脆弱性は標的型攻撃で利用されている可能性が考えられます。なお、この脆弱性とそれに関連する攻撃についての詳細情報が数日以内に公表される可能性があります。
― CVE-2021-26427 ― Microsoft Exchange Serverのリモートでコードが実行される脆弱性
この脆弱性は国家安全保障局(NSA)によって報告されているため、いずれにしてもかなりの注目を集めるでしょう。 CVE識別番号が近似であることから、より深刻度の高いExchangeの問題が4月に報告された際、共に報告された脆弱性である可能性があります。この脆弱性を利用した攻撃はプロトコルレベルで論理的に隣接するトポロジに制限されており、インターネットからは到達できないため、それほど深刻ではありません。この脆弱性と今月パッチがリリースされた他のExchangeの脆弱性に対処するために、Exchangeの管理者はしばらく忙しくなるはずです。
― CVE-2021-40486 ― Microsoft Wordのリモートでコードが実行される脆弱性
このパッチは、特別に細工されたWord文書が表示されたときに攻撃者によるコード実行が可能になる脆弱性を修正します。Microsoftによれば攻撃にはユーザの操作が必要であるものの、プレビューウィンドウも攻撃対象になる、と記載されています。このため、攻撃対象領域がはるかに大きなものとなります。現在、悪用の事実が確認されている特権昇格の脆弱性などと組み合わせると、この脆弱性を利用して標的システムを乗っ取ることができます。このバグはZDI programを通じて確認されたもので、オブジェクトに対して操作を実行する前にオブジェクトの存在を検証できないことに起因する脆弱性です。
― CVE-2021-40454 ― リッチ テキスト編集コントロールの情報漏えいの脆弱性
情報漏えいのバグが注目されることはあまりありませんが、この脆弱性はランダムなメモリ内容をダンプするだけではありません。このバグにより、Windows 11でも、攻撃者がメモリからクリアテキストパスワードを復元できる可能性があります。攻撃者がこのバグをどのように悪用するのかは明らかではありませんが、Power Appsでリッチテキスト編集コントロールを使用している場合は、このパッチを迅速に適用してください。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-40449 | Win32k の特権の昇格の脆弱性 | 重要 | 7.8 | なし | あり | EoP |
| CVE-2021-26427 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 重要 | 9 | なし | なし | RCE |
| CVE-2021-40486 | Microsoft Word のリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
| CVE-2021-40454 | リッチ テキスト編集コントロール の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
表:注目の4件の脆弱性(2021年10月の更新プログラム)
2021年10月にMicrosoft社が更新プログラムで対処している脆弱性の一覧はこちらから確認してください。
上記「CVE-2021-40486」以外の「緊急」のバグは、Hyper-Vサーバのリモートコード実行の脆弱性です。これらのバグの1つにより、ゲストがゲストVM内でメモリ割り当てエラーを引き起こすことに成功すると、ゲストOSがホストOS上でコードを実行できる可能性があります。 Microsoftはもう1つのバグの詳細について公開していませんが、「ゲストからホストへのエスケープ(Guest-to-Host Escape)」にも使用できると考えられます。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-38672 | Windows Hyper-V のリモートでコードが実行される脆弱性 | 緊急 | 8 | なし | なし | RCE |
| CVE-2021-40461 | Windows Hyper-V のリモートでコードが実行される脆弱性 | 緊急 | 8 | なし | なし | RCE |
表:その他の「緊急」レベルの脆弱性(2021年10月の更新プログラム)
残りのRCEの脆弱性を見ると、ほとんどがOfficeに属するもので、攻撃には特別に細工されたファイルをユーザに開かせる必要があります。
注目すべき例外の1つは、DNSサーバでのリモートコード実行のバグです。このバグを悪用するためにユーザの操作は必要ありませんが、高い権限が必要であるため、「緊急」ではなく「重要」評価となっています。 Microsoftはこの脆弱性を一般に公開されているものとしてリストしていますが、どこに公開されているかは明示されていません。企業のネットワーク防御担当者にとってこの脆弱性がどれほど知られているのかを把握することは、真のリスク評価を作成する上で大変役立つことであるため、残念なことです。SharePointコード実行のバグもいくつかありますが、どれも悪用するにはローカル権限が必要です。これらのバグはZDI programを通じて確認されたものであり、今後、詳細について報告がなされることでしょう。
もう1つの興味深いRCEの脆弱性は、MSHTMLプラットフォームに影響を与えます。 Internet Explorer(IE)は過去のものとなりつつあるとはいえ、基盤となるMSHTML、EdgeHTML、およびスクリプトプラットフォームはサポートされているため、生き延びています。さらに、Windows11用のパッチさえあります。IEは結局のところ、まだ過ぎ去ってはいません。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-40469 | Windows DNS サーバのリモートでコードが実行される脆弱性 | 重要 | 7.2 | あり | なし | RCE |
| CVE-2021-40471 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40473 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40474 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40479 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40485 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40480 | Microsoft Office Visio のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40481 | Microsoft Office Visio のリモートでコードが実行される脆弱性 | 重要 | 7.1 | なし | なし | RCE |
| CVE-2021-41344 | Microsoft SharePoint Server のリモートでコードが実行される脆弱性 | 重要 | 8.1 | なし | なし | RCE |
| CVE-2021-40487 | Microsoft SharePoint Server のリモートでコードが実行される脆弱性 | 重要 | 8.1 | なし | なし | RCE |
| CVE-2021-41330 | Microsoft Windows メディア ファンデーションのリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-41340 | Windowsグラフィックスコンポーネントのリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-41331 | Windows Media Audio Decoder のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-40462 | Windows Media Foundation Dolby Digital Atmos デコーダーのリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
| CVE-2021-41342 | Windows MSHTMLプラットフォームのリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
| CVE-2021-40465 | Windows テキスト整形のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
表:リモートコード実行(RCE)の脆弱性(2021年10月の更新プログラム)
特権昇格(EoP)の脆弱性に目を移すと、ほとんどの場合、影響を受けるコンポーネントを利用するためには攻撃者がシステムにログオンし自身のコードを実行する必要があります。また、カーネルの脆弱性がここにも含まれており、一般に公開あり、としてリストされています。しかし、これについても公開に関する詳細は言及されていません。
Exchangeには特権の昇格の脆弱性もありますが、攻撃者は隣接するネットワーク上にいる必要があります。悪用にはユーザの介在は必要とされていないため、考えられるシナリオは内部からの攻撃です。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-41335 | Windows カーネルの特権の昇格の脆弱性 | 重要 | 7.8 | あり | なし | EoP |
| CVE-2021-40470 | DirectX グラフィック カーネルの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-41339 | Microsoft DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 4.7 | なし | なし | EoP |
| CVE-2021-41348 | Microsoft Exchange Server の特権の昇格の脆弱性 | 重要 | 8 | なし | なし | EoP |
| CVE-2021-40478 | Storage Spaces Controller の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40488 | Storage Spaces Controller の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40489 | Storage Spaces Controller の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-26441 | Storage Spaces Controller の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-41345 | Storage Spaces Controller の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40450 | Win32k の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-41357 | Win32k の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40476 | Windows AppContainer の特権の昇格の脆弱性 | 重要 | 7.5 | なし | なし | EoP |
| CVE-2021-41347 | Windows AppX展開サービスの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40443 | Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40466 | Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-40467 | Windows共通ログファイルシステムドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-41334 | Windowsデスクトップブリッジの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
| CVE-2021-40477 | Windows Event Tracing の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
| CVE-2021-26442 | Windows HTTP.sys の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
| CVE-2021-40464 | Windows近距離共有の特権の昇格の脆弱性 | 重要 | 8 | なし | なし | EoP |
表:特権昇格(EoP)の脆弱性(2021年10月の更新プログラム)
今月パッチが適用された脆弱性には、6件のセキュリティ機能バイパス(SFB)が含まれています。 1つは、リモートプロシージャコール(RPC)ランタイムの脆弱性であり、攻撃者がサービスプリンシパル名(SPN)のターゲット名の検証によって提供される認証の拡張保護をバイパスする脆弱性です。 Active Directoryの別のバグは、攻撃者がWS-TrustワークフローのActive Directoryフェデレーションサービス(AD FS)BannedIPListエントリをバイパスすることを可能にします。もう1つのActive Directoryのバグは、攻撃者がKeyAdminsグループのActiveDirectoryドメイン権限をバイパスすることを可能にします。 Intuneのバイパスのためには、Intune Management Extensionをインストールする必要がありますが、Microsoftは、バイパスされる内容についてこれ以上の詳細を提供していません。 Microsoftは、コンソール ウィンドウ ホスト、およびWindows App Containerファイアウォールでバイパスされるセキュリティ機能の詳細を明らかにしていません。この脆弱性は一般に公開されているものとされているため、特にAppContainer ファイアウォールの脆弱性に関する詳細がないのは残念です。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用 | 種類 |
| CVE-2021-41338 | Windows AppContainer ファイアウォール規則のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.5 | あり | なし | SFB |
| CVE-2021-41337 | Active Directory のセキュリティ機能のバイパスの脆弱性 | 重要 | 4.9 | なし | なし | SFB |
| CVE-2021-41346 | コンソール ウィンドウ ホストのセキュリティ機能のバイパスの脆弱性 | 重要 | 5.3 | なし | なし | SFB |
| CVE-2021-41363 | Intune Management 拡張機能のセキュリティ機能のバイパスの脆弱性 | 重要 | 4.2 | なし | なし | SFB |
| CVE-2021-40456 | Windows AD FS のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.3 | なし | なし | SFB |
| CVE-2021-40460 | Windows リモートプロシージャコールランタイムのセキュリティ機能のバイパスの脆弱性 | 重要 | 6.5 | なし | なし | SFB |
表:セキュリティ機能バイパス(SFB)の脆弱性(2021年10月の更新プログラム)
10月のリリースには、3つの新しいサービス拒否(DoS)の脆弱性の修正が含まれており、それぞれ注目に値します。最初のパッチは、Windows 11を含む、すべてのサポート対象のバージョンのWindowsに影響を与えるTCP / IPのDoS脆弱性を修正します。これにより攻撃者がシステムを完全にシャットダウンできるかどうかは明らかではありませんが、Microsoftは詳細について言及しておらず、ネットワークを防御するためにはこの最悪のシナリオが発生する可能性を想定する必要があります。Exchange ServerにはDoSのバグがありますが、詳細な情報はほとんどありません。 CVSSスコアには可用性(Availability )について「高」と記載されているため、攻撃者がこの脆弱性を悪用してExchangeサーバをシャットダウンすることは可能であると考えられます。最後のDoSの脆弱性は、Windowsネットワークアドレス変換(NAT)に影響を与え、TCP / IPの脆弱性を発見したのと同じリサーチャーによって発見されました。これについても、CVSSスコアはこの脆弱性がシステムのテイクダウンに使用される可能性があることを示しているため、パッチを迅速に適用してください。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-36953 | Windows TCP/IP のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
| CVE-2021-34453 | Microsoft Exchange Server のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
| CVE-2021-40463 | Windows NAT のサービス拒否の脆弱性 | 重要 | 7.7 | なし | なし | DoS |
表:サービス拒否(DoS)の脆弱性(2021年10月の更新プログラム)
前述のCVE-2021-40454に加え、今月のリリースで修正された情報漏えい(Info)の脆弱性が12件あります。これらのほとんどは、不特定のメモリ内容で構成される情報漏えいを引き起こすだけです。ただし、System Center Operations Manager(SCOM)のWebコンソールを実行している場合は、システムのファイルコンテンツを開示する可能性のあるバグに注意する必要があります。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-41355 | .NET Core および Visual Studio の情報漏えいの脆弱性 | 重要 | 5.7 | なし | なし | Info |
| CVE-2021-40472 | Microsoft Excel の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-40482 | Microsoft SharePoint Server の情報漏えいの脆弱性 | 重要 | 5.3 | なし | なし | Info |
| CVE-2021-41352 | SCOM の情報漏えいの脆弱性 | 重要 | 7.5 | なし | なし | Info |
| CVE-2021-40468 | Windows Bind Filterドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-40475 | Windows Cloud Files Mini Filter ドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-38663 | Windows exFATファイルシステムの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-38662 | Windows Fast FATファイルシステムドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-41343 | Windows Fast FAT ファイルシステムドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-40455 | Windows インストーラーのなりすましの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-41336 | Windows カーネルの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
| CVE-2021-41332 | Windows 印刷スプーラーの情報漏えいの脆弱性 | 重要 | 6.5 | なし | なし | Info |
表:情報漏えい(Info)の脆弱性(2021年10月の更新プログラム)
10月のリリースは、6つのなりすまし(Spoofing)のバグと2つのクロスサイトスクリプティング(XSS)の脆弱性の修正で締めくくられています。Microsoftは、これらの脆弱性に対して何がスプーフィングされる可能性があるかについて詳細を述べていませんが、印刷スプーラーおよびExchangeの脆弱性が目立っています。今月のリリースには印刷スプーラーのバグが2、3しか含まれていないため、PrintNightmareがようやく幕を閉じているのかもしれません。Exchangeのなりすましのバグの影響についてのひとつの手がかりは、「機密性(Confidentiality)」が「高」というCVSS評価です。これは、機密性が完全に失われることを意味するため、あまりExchangeサーバに存在してほしくない脆弱性でしょう。残りのなりすましのバグは、SharePoint Serverの深刻度「低」の脆弱性の修正を含め、XSSバグに非常に近いものと言えます。
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-41361 | Active Directory フェデレーション サーバのなりすましの脆弱性 | 重要 | 5.4 | なし | なし | Spoofing |
| CVE-2021-41353 | Microsoft Dynamics 365 Sales のなりすましの脆弱性 | 重要 | 5.4 | なし | なし | Spoofing |
| CVE-2021-41350 | Microsoft Exchange Server のなりすましの脆弱性 | 重要 | 6.5 | なし | なし | Spoofing |
| CVE-2021-40484 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | なし | なし | Spoofing |
| CVE-2021-36970 | Windows 印刷スプーラーのなりすましの脆弱性 | 重要 | 8.8 | なし | なし | Spoofing |
| CVE-2021-40483 | Microsoft SharePoint Server のなりすましの脆弱性 | 低 | 7.6 | なし | なし | Spoofing |
表:なりすまし(Spoofing)の脆弱性(2021年10月の更新プログラム)
| CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
| CVE-2021-41354 | Microsoft Dynamics 365 (オンプレミス) のクロスサイト スクリプトの脆弱性 | 重要 | 4.1 | なし | なし | XSS |
| CVE-2021-40457 | Microsoft Dynamics 365 Customer Engagement のクロスサイト スクリプトの脆弱性 | 重要 | 7.4 | なし | なし | XSS |
表:クロスサイトスクリプティング(XSS)の脆弱性(2021年10月の更新プログラム)
今月、新しいアドバイザリは発表されませんでした。最新のサービススタックアドバイザリの更新は、改訂されたADV90001で確認することができます。
参考記事:
- 「THE OCTOBER 2021 SECURITY UPDATE REVIEW」
By Dustin Childs
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro
Research)
The post 2021年10月のセキュリティアップデート解説:ゼロデイ「CVE-2021-40449」を含む92件を修正 first appeared on トレンドマイクロ セキュリティブログ.