TenableによるMicrosoftの2019年8月月例セキュリティ更新プログラムの解説：DejaBlue

8月13日にリリースされたマイクロソフトの2019年8月セキュリティ更新プログラムは90件以上の脆弱性に対処しています。これらの脆弱性のうち29件は緊急です。

マイクロソフトの2019年8月月例更新プログラムには、計93件（そのうち29件が緊急）の脆弱性に対する更新プログラムが含まれています。今月の更新プログラムでは、Microsoft Windows、Office製品、IE、Edge、Microsoft Dynamicsなどに対するパッチが提供されています。いつものように、管理者は早急に組織全体にパッチを適用する必要があります。即時にパッチを適用できない場合は、マイクロソフトの推奨事項に従って緩和策をとる必要があります。今月の脆弱性に対する攻撃は実際に確認されてませんが、これらの脆弱性のいくつかは突かれる可能性が高いと考えられます。ここでは、今月のリリースで対処された最も重要な脆弱性について解説します

CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226 | リモートデスクトップサービスのリモートコード実行の脆弱性

5月のリリースでCVE-2019-0708（BlueKeep）が対処されてからわずか数か月になりますが、マイクロソフトはDejaBlueと研究者のMichael Norrisにより名付けられたリモートデスクトップサービスの4件の緊急なリモートコード実行の脆弱性に対するパッチをリリースしました。この脆弱性を突くには、特別に細工されたリクエストをRDPを介してターゲットシステムのリモートデスクトップサービスに送信するだけです。この脆弱性は認証されていない攻撃者により悪用される可能性があり、ユーザーの操作を必要としないため、非常に危険です。エクスプロイトが成功すると、攻撃者は標的となるホストで任意のコードを実行できます。CVE-2019-1181およびCVE-2019-1182の両方に対してマイクロソフトは緩和策を提供しています。これは、BlueKeepに対する緩和策と同じく、ネットワークレベル認証（NLA）を有効にし、境界ファイアウォールでTCPポート3389をブロックします（ホストで既定のポートが使用されている場合）。マイクロソフトは実際の攻撃は確認されていないと報告していますが、近日中に概念実証（PoC）がリリースされる可能性が非常に高いと考えられます。

さらに、Windowsリモートデスクトッププロトコルに影響を与える3件の脆弱性のパッチがリリースされています。CVE-2019-1223はサービス拒否（DoS）の脆弱性で、CVE-2019-1224とCVE-2019-1225は両方とも情報漏えいの脆弱性です。マイクロソフトはこれら3件の脆弱性を重大と評価していますが、BlueKeepを初めとしてRDPに焦点を当てたWindowsの重要なコンポーネントのセキュリティ改善に対する取り組みが見られます。

CVE-2019-0736 | Windows DHCPクライアントのリモートコード実行の脆弱性

Windows DHCPクライアントにメモリ破損の脆弱性が存在します。リモートの認証されていない攻撃者が、脆弱なシステムに悪意のあるDHCPレスポンスを送信すると、ターゲットでSYSTEM権限を持つコードとして実行されます。DHCPのCVE-2019-1213も今回の更新プログラムで対処されました。これは、リモートコード実行につながる可能性のあるWindows Server DHCPのメモリ破損の脆弱性で、2件のサービス拒否の脆弱性（CVE-2019-1206、CVE-2019-1212）につながる可能性があります。

CVE-2019-1162 | Windows ALPCの権限昇格の脆弱性

WindowsオペレーティングシステムのAdvanced Local Procedure Call（ALPC）に権限昇格の脆弱性が存在します。攻撃者が他の手段を介して脆弱なホストにログインアクセスした場合、その攻撃者はその時点のユーザーのセッションアクセス許可により制限されず、SYSTEMアクセス許可を得て有害なコードを実行できます。CVE-2019-1162は、Google Project ZeroのTavis Ormandyにより発見され、本日、この脆弱性の発見に関する詳細が公開されました。この研究に加えて、Tavisはこれらの脆弱性を簡単に見つけるためのツールもリリースしました。今後数か月、これらに関する更新が期待されます。

CVE-2019-1201 & CVE-2019-1205 | Microsoft Wordのリモートコード実行の脆弱性

Microsoft Wordにはリモートコード実行の脆弱性が存在します。特別に細工されたファイルは、その時点のユーザーとしてアクションを実行し、コマンドを実行できます。攻撃を成功させるには、ソーシャルエンジニアリングが必要であり、ファイルをターゲットユーザーに送信したり、ターゲットユーザーが対話するWebサイトで悪意のあるファイルをホストし、ターゲットユーザーに悪意のあるファイルを実行させる必要があります。この脆弱性を突くには、エンドユーザーが悪意のあるWordファイルを開いて実行する必要があります。アドバイザリによると、Microsoft Outlook Preview Paneが、これらの脆弱性に対する攻撃ベクトルです。Microsoft OutlookのCVE-2019-1200は、関連する脆弱性であり、特別に細工されたファイルを開くようにユーザーを誘導することにより、リモートでコードが実行される可能性があります。

CVE-2019-0965 | Windows Hyper-Vのリモートコード実行の脆弱性

ホストサーバー上のHyper-Vがゲストオペレーティングシステム上の認証されたユーザーからの入力を適切に検証しない場合、リモートコード実行の脆弱性が存在します。攻撃するには、攻撃者がゲストOSで細工されたアプリケーションを実行できる必要があるため、インサイダー脅威の危険性があります。このシナリオでは攻撃の可能性は低くなりますが、ホストオペレーティングシステムで任意のコードが実行される可能性があるため、マイクロソフトは依然として深刻度を「緊急」と評価しています。

Tenable のソリューション

ユーザーは、月例セキュリティ更新プログラムのプラグインに特に焦点を当てたスキャンを作成できます。新しい高度なスキャンの[プラグイン]タブで、詳細フィルタをPlugin Name Contains August 2019に設定します。

このフィルタの設定で、左側のプラグインファミリーをクリックし、右側に表示される各プラグインを有効にします。左側のファミリーが 有効である場合、そのファミリーのプラグインすべてが設定されているのでご注意ください。このスキャンの個々のプラグインを選択する前に、ファミリ全体を無効にしてください。以下は、Tenable.ioからの例です。

2019年8月月例更新プログラムのためにリリースされたTenableのすべてのプラグインのリストは、こちらからご覧いただけます。

もっと詳しく

• マイクロソフトの2019年8月セキュリティ更新プログラム
• 2019年8月月例更新プログラムのためTenableのプラグイン