Microsoftの2018年10月セキュリティ更新プログラムの詳細情報
Microsoftが2018年10月のセキュリティ更新プログラムで49件の脆弱性に対処してから1週間後、いくつかの脅威プロファイルを変更する新しい開発が登場しました。
背景
10月9日火曜日、Microsoftは2018年10月のセキュリティ更新プログラムをリリースしました。 このセキュリティ更新プログラムには、49件の脆弱性に対する修正が含まれています。このセキュリティ更新プログラムが公開されて以来、これらの脆弱性のいくつかの脅威プロファイルを変更する新しい開発が登場しました。最も顕著な開発は、Microsoft Windows Shell、Microsoft Win32k.sys、およびMicrosoft JET Database Engineの脆弱性に関するものです。
脆弱性の詳細
9月20日、トレンドマイクロのゼロデイイニシアティブ(ZDI)は、Microsoft Windows JETデータベースエンジン のゼロデイ脆弱性(CVE-2018-8423)に関するアドバイザリーを公開しました。このアドバイザリーは、研究者が120日間の開示責任をMicrosoftに提供した後に発表されたものです。Microsoftは、2018年10月のセキュリティ更新プログラムの一環としてこの脆弱性に対するパッチをリリースしました。しかし、脆弱なソフトウェアのマイクロパッチを作成する企業である0patchの研究者は、JETデータベースエンジンの脆弱性に対するMicrosoftのパッチが不完全であると指摘するブログを10月12日に公開しました。 公開時点では、Microsoftは0patchの申し立てに対しては回答していません。
10月10日、Kaspersky Labの研究者は 、Win32k.sysのゼロデイ脆弱性(CVE-2018-8453)に関するブログを公開しました。その脆弱性は、FruityArmorというAPT(Advanced Persistent Threat)グループにより悪用されたことが発見されました。このゼロデイ脆弱性は、中東地域にある12個未満のターゲットに対して使用される悪意のあるソフトウェア(マルウェア)のインストーラの一部としてパッケージ化された特権昇格の脆弱性です。Kasperskyは2018年8月にMicrosoftにこの脆弱性を通知し、パッチは2018年10月のセキュリティ更新プログラムの一環としてリリースされました。
10月11日、研究者であるAbdulrahman Al-Qabandiは、Windows Shellの リモートコード実行の脆弱性 (CVE-2018-8495)の発見に関するブログを公開しました。Al-Qabandiは、2018年10月のセキュリティ更新プログラムでこの問題に取り組むためにMicrosoftと協力するZDIにこれらの詳細を提供しました。このブログでは、Al-Qabandiは、脆弱性の悪用方法を明らかにする概念の証明(PoC)を提供しています。 PoCの公開により、悪意のある攻撃者に攻撃方法の詳細が提供されると懸念されています。
緊急措置が必要
JET Engine Databaseの脆弱性に対するパッチが不完全であることが指摘されていますが、ユーザーには2018年10月のMicrosoftのセキュリティ更新プログラムをすべての資産に適用することをお勧めします。この更新プログラムを適用することにより、Win32k.sysおよびWindows Shellの脆弱性を含む49件のCVEが対処されます。
2018年11月のセキュリティ更新プログラムのリリースの前に、JETエンジンデータベースの脆弱性に関する懸念についてMicrosoftが応答するかどうかは不明です。それまでは、脆弱なアプリケーションとのやりとりを信頼できるファイルに制限することをお勧めします。
セキュリティ更新プログラムでパッチを適用することは非常に重要ですが、資産を保護するにはパッチの適用だけでは不十分です。これらの開発は、包括的なセキュリティの重要性を強調し、資産の可視性、潜在的なリスクをコンテキスト化して対応の優先順位付け、Cyber Exposureギャップを埋めるための対応を可能にします。
影響を受けているシステムの特定
脆弱な資産を特定するためのNessusプラグインのリストは、こちらからご覧いただけます。
詳細情報
- MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性、範囲外のメモリにデータを書き込み、コードを実行
- JetデータベースエンジンRCE(CVE-2018-8423)のパッチ、再パッチ、およびメタパッチ
- 標的型攻撃に使用されるゼロデイ攻撃(CVE-2018-8453)
- Microsoft Edge、リモートでコードが実行される
- Microsoft、ゼロデイ特権昇格の脆弱性の修正が不完全であると指摘される
- Microsoft Patch Tuesday更新プログラム、ゼロデイ脆弱性の12件の重要な問題を対処
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。