2021年5月のセキュリティアップデートレビュー解説
今月第2火曜日となった2021年5月11日には、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。
今月第2火曜日となった2021年5月11日には、Adobe社およびMicrosoft社から最新のセキュリティ更新プログラムがリリースされました。これらのセキュリティ更新プログラムの詳細について確認しましょう。
■Adobe社による2021年5月のセキュリティアップデート
今月Adobe社は、「Experience Manager」、「InDesign」、「Illustrator」、「InCopy」、「Adobe Genuine Service」、「Adobe Acrobat およびReader」、「Magento」、「Creative Cloud Desktop」、「Media Encoder」、「After Effects」、「Medium」、「Animate」に確認された44件の脆弱性に対処するための12のパッチをリリースしました。確認された脆弱性のうちの5つが、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。
特に、AcrobatおよびReaderのアップデートは最優先で実施してください。このパッチで対処している14件の脆弱性のうちの1つ、「CVE-2021-28550」については実際の悪用を確認済みと報告されています。この脆弱性は、このパッチで修正される3件の解放済みメモリ使用(use After Free、UAF)の脆弱性のうちの1つです。これらの脆弱性により、特別に細工されたPDFをAcrobatまたはReaderで開いた場合、攻撃者によるコード実行が可能になります。また、InDesignのアップデートも注目に値します。今回のパッチで修正される脆弱性が悪用された場合、ユーザの入力データの検証が適切に行われず、割り当てられた構造体の境界を越えた書き込みが実行される可能性があります。攻撃者はこの脆弱性を利用し現在のプロセスのコンテキストでコードを実行することが可能になります。
なお、Adobe社のアップデートにより今月対処されたその他の脆弱性は、上述のCVE-2021-28550を除き、リリース時点で一般に公開されているものや悪用の事実を確認されているものはありません。
■Microsoft社による2021年5月のセキュリティ更新プログラム
5月Microsoft社は、「Microsoft Windows」、「.NET Core & Visual Studio」、「Internet Explorer(IE)」、「Microsoft Office」、「SharePoint Server」、「Open Source Software」、「Hyper-V」、「Skype for Business and Microsoft Lync」、「Exchange Server」に含まれる55件の脆弱性に対処する修正プログラムをリリースしました。これらの脆弱性のうち、13件がZDI programを通じて確認されたものです。55件の脆弱性のうち4件が「Critical(緊急)」、50件が「Important(重要)」、1件が「Moderate (警告)」レベルの深刻度とされています。Microsoftによればこれらの脆弱性のうち3つは一般に公開されていますが、リリース時点で悪用の事実が確認されているものはありません。
それでは、まず今月のセキュリティ更新プログラムの中から特に注目すべき脆弱性を詳しく紹介します。
– CVE-2021-31166 - HTTP プロトコルスタックのリモートコード実行の脆弱性
これは、権限を持たない攻撃者がリモートからカーネルモードでコードを実行できるようになる脆弱性です。攻撃者は特別に細工したパケットを、この脆弱性の影響を受けるサーバに送信するだけで攻撃が可能になります。そのためこの脆弱性はワーム化する可能性があり、Microsoft社もその点について言及しています。また、Windows 10はWebサーバとして設定することができるため同様の影響を受けます。このパッチの適用は最優先で実施してください。
– CVE-2021-28476 - Hyper-V のリモートコード実行の脆弱性
共通脆弱性評価システム(CVSS )の基本スコアが9.9のこの脆弱性は、今月のアップデートの中で最も深刻度の高い評価となっていました。しかしMicrosoft社によれば、この脆弱性はコード実行ではなくバグチェックの形でサービス拒否(denial-of-service 、DoS)に利用される可能性のほうが高いと指摘しています。このため、攻撃の複雑性は高いと考えられ、現状スコアは8.5に変更されました。それでも深刻度は高いと言えますが、「緊急」ではありません。とはいえ、Hyper-Vを使用するユーザは、このパッチが適用されていることを確認するべきでしょう。
– CVE-2021-27068 - Visual Studio のリモートコード実行の脆弱性
このパッチは、コード実行につながるVisual Studio 2019 の珍しい脆弱性を修正します。この脆弱性を悪用するにはユーザの操作を必要としないと記載されているため、どのように攻撃に利用されるのかは不明です。攻撃者はどこかの段階で認証を得る必要があるようですが、攻撃の複雑さは低いと記載されています。Visual Studio を使用する開発者は、この更新プログラムを入手してください。
– CVE-2020-24587 - Windows ワイヤレスネットワークの情報漏えいの脆弱性
情報漏えいの脆弱性が注目されることは普段あまりありませんが、この脆弱性はかなりのダメージをもたらす可能性があります。これは、暗号化された無線パケットの内容の漏えいにつながる脆弱性です。攻撃範囲については明らかではありませんが、ある程度至近距離からの実行が必要だと考えるべきでしょう。なお、この脆弱性は2020年に確認されたものであり、Microsoft社がその修正にしばらく取り組んでいたことがうかがわれます。
次に、その他に2021年5月のMicrosoft社による更新プログラムで修正された脆弱性について解説します。更新プログラムで対処している脆弱性の一覧はこちらから確認してください。
今月のリリースにはMicrosoft Exchange Serverのパッチが複数含まれていますが、その中には最近開催されたハッキングコンテスト「Pwn2Own」で公開された脆弱性に関連するものが含まれています。そのうち2つ(CVE-2021-31195、CVE-2021-31198)は、リモートコード実行の脆弱性です。これらはコンテストの参加者により発見された脆弱性と考えられますが、コンテストで実行された脆弱性攻撃は、ユーザの操作を必要としないものでした。一方Microsoftはユーザの操作を要すると記載しているため、一連のエクスプロイトチェーンのこの部分について評価しているのかもしれません。コンテストでは、複数の脆弱性を利用する攻撃の一部として、他になりすましの脆弱性とセキュリティ機能のバイパスの脆弱性も使用されました。コンテストで公開された脆弱性すべてに対して対処されたわけではないので、今後さらなるExchange Serverのパッチの公開が予想されます。
深刻度「緊急」レベルのパッチに目を向けると、残る2つのCVE-2021-31194およびCVE-2021-26419はどちらも、攻撃者が脆弱性を利用してコードを実行するためにユーザがWebサイトを閲覧する必要があります。1つは攻撃者がWebブラウザでOLEオートメーションを呼び出した場合に発生するもので、もう1つはInternet Explorer(IE)に影響を与える脆弱性です。どちらの場合も、攻撃者は何らかの方法でユーザを自身のWebサイトへ誘導する必要があります。
次に、深刻度「重要」のパッチを見ると、18件に何らかの形でリモートコード実行(RCE)の脆弱性が含まれています。そのうちの1つが「公開されている脆弱性」に該当しますが、公開されたのは数カ月前です。共通ユーティリティ(common_utils.py)については、12月にGitHubにアップデートがチェックインされました。Neural Network Intelligence のオープンソース・ツールキットを使用しているユーザは、バージョンが最新のものであることを確認してください。様々なOfficeコンポーネントのいくつかに、開封すると感染するタイプの脆弱性が存在します。Visual Studio Codeには3つのコード実行の脆弱性がありますが、これらはユーザにディレクトリ内の悪意のあるファイルを開封させる必要があります。もし攻撃者がそのような誘導に成功した場合、ログオンしているユーザの権限でコードを実行することができます。
もう1つのRCEの脆弱性は、ZDIのリサーチャーであるHossein Lotfiによって報告されたもので、Jet Red Database EngineとAccess Connectivity Engineに影響を与えます。この脆弱性に完全に対処するには、パッチを適用した上で、リモートデータベースへのアクセスを制限する必要があります。アクセス制限を行わなかった場合、データベースが潜在的なSQLアドホックあるいはSQLインジェクションの脆弱性にさらされる可能性があります。Microsoft社はKB5002984を公開し、アクセス制限に関するガイダンスを提供しています。
今月は11件の特権昇格(EoP)の脆弱性に対しパッチがリリースされました。そのほとんどがWindows Container Manager Serviceのものです。また、.NET CoreおよびVisual StudioのEoPの脆弱性については一般に公開されているとの記載がありますが、Microsoftは公開されている場所については言及していません。ZDI Programを通じて報告された脆弱性の1つは、Wallet Serviceに影響します。攻撃者は、ディレクトリジャンクションを作成することで、このサービスを悪用し、任意の場所にファイルを作成することができます。攻撃者は、この脆弱性を利用して特権を昇格させ、SYSTEMのコンテキストでコードを実行することができます。また、ZDIのリサーチャーLucas Leongは、Windows Graphicsコンポーネントに存在する2つのEoPの脆弱性を報告しました。脆弱性は、Palette and Font Entry オブジェクトの処理に起因します。
今月のリリースには、前述のものを含め、情報漏えい(Info)の脆弱性に対するパッチが10件含まれています。ほとんどの場合、これらは不特定のメモリ内容の情報漏えいにつながるだけですが注意すべき例外もあります。SharePointの情報漏えいの脆弱性は、ファイルシステムへの不正アクセスや個人識別情報(PII)の漏えいにつながる可能性があります。繰り返しますが、ワイヤレスネットワークの情報漏えいの脆弱性は、この中で最も深刻なものです。
5月には8件のなりすまし(Spoofing)の脆弱性があり、そのうち2つは上述のワイヤレスネットワークの情報漏えいの脆弱性を報告したリサーチャーによって報告されています。これらもワイヤレスコンポーネントに影響を与えますが、どのようにしてなりすましが発生するのかは明らかではありません。これらも2020年に確認されていた脆弱性なので、やはりMicrosoftがしばらくの間対処に取り組んでいたことを示しています。今月修正される他のなりすましの脆弱性は、SharePoint Server、Bluetooth、Skype for Business and Lyncに影響を与えます。
前述のExchange Serverセキュリティ機能バイパスに加え、SMBクライアントのセキュリティ機能バイパスに対する修正もあります。SMBv2では、ゲストフォールバックがデフォルトでは無効になっていません。このパッチでは、ゲストフォールバックのアクセスを無効にして、OSおよびグループポリシーの設定を実施します。また、レジストリを介してゲストのアクセスを無効にすることもできます。5月のリリースは、Dynamics Finance and Operationsにおけるクロスサイトスクリプティング(XSS)の脆弱性と、Windows Desktop Bridgeにおけるサービス拒否(DoS)の脆弱性で締めくくられています。
最後に、ervicing Stack のアドバイザリ(ADV990001)がすべてのバージョンのWindows向けに修正されました。その他、今月は追加のアドバイザリはリリースされていません。
参考記事:
- 「THE MAY 2021 SECURITY UPDATE REVIEW」
By Dustin Childs
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)