パッチ チューズデー今年最初のパッチ チューズデーでは、Microsoft が Adobe、Intel、VMware、SAP とともに、定期的なセキュリティ更新をリリースします。
マイクロソフトからの49の修正
今月のMicrosoftセキュリティ修正には、レドモンドのWindowsリモートデスクトッププロトコルソフトウェアに存在する、リモートコード実行の脆弱性が3件追加されています。脆弱性のうち2件(CVE-2020-0609、CVE-2020-0610)はRDゲートウェイのサーバー側(認証不要)に存在し、3件目(CVE-2020-0611)はクライアント側に存在します。
トレンドマイクロ ゼロデイ イニシアチブのダスティン チャイルズ氏は、特に 2 つのゲートウェイの欠陥が攻撃に対して脆弱であると指摘しています。
「このコード実行はサーバーレベルで行われ、認証前であり、ユーザーの操作は不要です」とチャイルズ氏は指摘する。「つまり、これらのバグはワーム化しやすいということです。少なくともRDPゲートウェイサーバー間では。」
NSAがWindowsのバグを公に報告
また、今月は CVE-2020-0601 もリリースされました。これは、過去 24 時間にわたって NSA によって大々的に宣伝されてきた、残念なデジタル証明書のなりすましの脆弱性です。
Microsoft によると、この脆弱性は Windows 10、Server 2016、Server 2019 の Windows Crypto API に存在します。その根本的な原因は、楕円曲線暗号証明書に対して実行されるチェックの不備です。
その結果、悪意のある人物は偽の証明書を使ってマルウェアに暗号署名し、コードが信頼できるアプリケーション開発者から提供されたように見せかけることができます。その結果、人々はスパイウェアやランサムウェアなどの恐ろしいものをインストールさせられる可能性があります。
NSA は、さらに一歩進んで、このバグを悪用すると、悪質なソフトウェアを正規のアプリとして偽装できるだけでなく、安全なネットワーク通信を傍受できる可能性もあると示唆しました [PDF]。
「NSAは、この脆弱性が深刻であると評価しており、高度なサイバー攻撃者は根本的な欠陥を非常に迅速に理解し、それが悪用された場合、前述のプラットフォームは根本的に脆弱になるだろう」と、この秘密機関は述べた。「この脆弱性にパッチを適用しないことの影響は深刻かつ広範囲に及ぶ」
米国政府のセキュリティバグ開示に関する最新ルールブックの4つの問題点
続きを読む
米国政府の厳しい警告が続く中、マイクロソフトは、この脆弱性が実際に攻撃されているという証拠はなく、深刻度は「重要」とされており、RDP、.NET(CVE-2020-0603、CVE-2020-0605、CVE-2020-0606、CVE-2020-0646)、Internet Explorer(CVE-2020-0640)における重大なリモートコード実行バグよりも1段階下であると述べた。
しかし、アメリカの諜報機関は、CVE-2020-0601に関する記者会見を開くほど、この悪質な証明書の欠陥を非公開で発見し、マイクロソフトに報告したことを、皆に知らせたいと考えている。そして、このシステムは完全に友好的な大規模監視システムであり、新たな一面を見せ、情報セキュリティ研究者の好意を得ようとしており、実行ファイルやネットワーク接続の出所と整合性をユーザーが継続的に検証できることを重視しているのだ。そして、マイクロソフトが欠陥を発見したスヌープたちに公に感謝することを喜んでいるのだ。そして、実際にそうしていたのだ。
一方、CMU CERTコーディネーションセンターから、証明書の不具合に関する別の勧告が出ています。他のセキュリティホールと同様に、できるだけ早くパッチを適用してください。
次に、Officeにはリモートコード実行の脆弱性がいくつか存在します。これは、ユーザーが特別に改ざんされたドキュメントファイルを開くことで悪用される可能性のあるプログラミング上の欠陥です。これには、Excelの脆弱性(CVE-2020-0650、CVE-2020-0651、CVE-2020-0653)と、Office全般の脆弱性(CVE-2020-0652)が含まれます。
最後に、今回の Patch Tuesday は、本日サポートが終了した (多少の注意事項はありますが) Windows 7 および Server 2008 のセキュリティ修正プログラムの最後の公式メインストリーム リリースとなります。
インテルは年初に6つの勧告を発表
今月、Intelは6件のアドバイザリを公開しました。その中には、Chipzillaが重大度の高い問題とみなしているものも含まれています。この脆弱性(CVE-2019-14613)は、VTune Amplifier for Windowsソフトウェアを介して権限昇格を許すものです。
Intel は、プロセッサ グラフィックスにおける情報漏洩の脆弱性 (CVE-2019-14615) (Windows、Linux、およびおそらく他のオペレーティング システムにも影響)、チップセット デバイス ソフトウェア INF ユーティリティにおけるサービス拒否の脆弱性 (CVE-2019-14596)、および Windows 用 RAID Web Console 3 における権限昇格の脆弱性 (CVE-2019-14601) にも対処しました。
管理者は、Microsoft や他のベンダーのパッチと並行して、毎月の Intel パッチをすべてテストしてインストールする習慣を身に付ける必要があります。
VMwareがEoPバグについて警告
Windowsにパッチを適用する際には、VMware Toolsの最新アップデートを入手することをおすすめします。この修正により、Windows VM内でユーザーが権限を昇格できる可能性のある競合状態の脆弱性(CVE-2020-3941)が解消されます。
ハイパーバイザーからの完全なエスケープバグほど深刻ではありませんが、この脆弱性はパッチを適用する価値があります。また、VMware Tools 11.0.0以降にアップデートすることでもこのバグは修正されます。
Adobeは1月のパッチを2つだけリリースし、ゆっくりとスタート
これは Adobe にとって比較的軽めの Patch Tuesday であり、合計 9 件の CVE リストのバグに対処する 2 つのアップデートがリリースされました。
そのうち5件はWindows版Adobe Illustrator CCに発見されました。いずれもメモリ破損の脆弱性であり、悪用されると任意のコード実行が可能になります。これら5件の発見はすべて、FortiGuard Labsの研究員であるHonggang Ren氏が行いました。
Adobe Experience Manager向けの2つ目のパッチが公開されました。このパッチでは、情報漏洩につながる可能性のある4つの脆弱性が修正されています。そのうち2つの脆弱性は、Adobeの専門企業Netcentricのフロントエンドソフトウェアエンジニア、ロレンゾ・ピロンディーニ氏によって発見されました。
SAPが7つのパッチを公開
今月、SAP は 6 つのバグ修正と以前の通知に対する 1 つの更新をリリースしました。
これら 7 件のセキュリティ情報の中で最も深刻なのは、SAP Process Integration の Rest Adaptor におけるクロスサイト スクリプティングの脆弱性である CVE-2020-6305 です。
その他のパッチには、NetWeaver Internet Communication Manager のサービス拒否脆弱性 (CVE-2020-6304) や、Realtech RTCISM 100 の認証チェックの欠落などが含まれています。®
