セキュリティアップデート解説 2021年9月:Microsoft編・MSHTMLの脆弱性「CVE-2021-40444」など-セキュリティブログ
この9月のセキュリティアップデートではいつものMicrosoft、Adobeに加え、Google Chrome、Appleについても注目すべきアップデートがリリースされています。
まず今回はMicrosoftのアップデートについて、トレンドマイクロセキュリティブログより紹介します。
この記事の目次
■Microsoft社による2021年9月のセキュリティ更新プログラム
総括
Microsoftは、9月版として以下に関する66件の脆弱性に対する修正パッチをリリースしました。今回のパッチは今月すでに実施済みのMicrosoft Edge (Chromium-based)のCVEを対象とした20件のパッチに追加する形で実施されました。
その結果、9月にパッチされたCVEの総数は86件になりました。このうち、11件の脆弱性は「Zero Day Initiative」を介して発見・報告されました。
- Microsoft Windows
- Windows components
- Microsoft Edge (Chromium, iOS, and Android)
- Azure
- Office
- Office Components
- SharePoint Server
- Microsoft Windows DNS
- Windows Subsystem for Linux
この9月に修正された66件の新たなCVEのうち、3件は深刻度「緊急」、62件は「重要」、1件は「警告」と評価されています。先月と同様に、CVE-2021-40444を始めとするアクティブな攻撃を受けているバグへ対応するためにリソースを割いています。これとは別のバグが一般に公開されているバグとして掲載されていますが、今のところ、悪用された形跡はありません。
注目すべき脆弱性
まずは、注目すべき脆弱性について解説します。
CVE-2021-40444 – Microsoft MSHTMLにおけるリモートコード実行
このパッチは、現在Office文書を介して悪用されているバグを修正します。その悪用方法とは、まず特別に細工されたActiveX controlがOffice文書に埋め込まれ、ターゲットに送信されます。これを脆弱性が存在するシステム上で開くと、悪意のあるコードがログオンユーザの権限で実行されます。
Microsoftは回避策としてActiveXの無効化を推奨していますが、あるレポートによると効果がないともされています。現時点での最も効果的な防御策は、パッチを適用し、不審なOffice文書を開かないことです。
CVE-2021-38647 – オープンマネジメントインフラストラクチャにおけるリモートコード実行
この脆弱性は共通脆弱性評価システム(CVSS)9.8と最も深刻な評価を受けた脆弱性です。これは、オープンマネジメントインフラストラクチャ(OMI)のリモートコード実行のバグです。OMIはDMTF CIM/WBEM基準に関する生産品質の実装を開発するオープンソースのプロジェクトです。この脆弱性にはユーザのやり取りや特権が一切要求されないので、攻撃者は特殊な仕掛けを施したメッセージを送信するだけで、感染しているシステム上でコードを実行することができます。OMIのユーザはこのパッチをなるべく迅速に適用してください。
CVE-2021-36965 – Windows WLAN AutoConfig Serviceにおけるリモートコード実行
これは、ネットワークに近接する攻撃者が影響を受けるシステム上でシステムレベルでのコード実行を可能にし得る脆弱性です。これは攻撃者が近接ネットワーク上にいる場合、ターゲットを完全に乗っ取ることができてしまうことを意味します。これは大勢の人がセキュリティ対策のないWi-Fiネットワークを利用しているコーヒーショップなどを想定すると、かなり現実的と思われます。さらに、特権もユーザ同士のやりとりも一切要求されません。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-40444 | Microsoft MSHTML Remote Code Execution Vulnerability | 重要 | 8.8 | はい | はい | RCE |
| CVE-2021-38647 | Open Management Infrastructure Remote Code Execution Vulnerability | 緊急 | 9.8 | いいえ | いいえ | RCE |
| CVE-2021-36965 | Windows WLAN AutoConfig Service Remote Code Execution Vulnerability | 緊急 | 8.8 | いいえ | いいえ | RCE |
表:注目の3件の「緊急」レベルの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
Chromium版Edgeの脆弱性
先月同様、今月の表にもChromium版Edgeのアップデートが掲載されています。その脆弱性はGoogleが適用している重大度と併記されており、Microsoftの標準的な名称とは異なります。GoogleはCVSSスコアを割り振っていないため、表には何も掲載されていません。念のため、これらのバグは昨日のリリースでGoogle Chromeにより修正されたバグとは異なります。
そのバグのパッチはEdge(Chromium)の今後のバージョンに組み込まれるはずです。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-26436 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | 重要 | 6.1 | いいえ | いいえ | EoP |
| CVE-2021-36930 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | 重要 | 5.3 | いいえ | いいえ | EoP |
| CVE-2021-38669 | Microsoft Edge (Chromium-based) Tampering Vulnerability | 重要 | 6.4 | いいえ | いいえ | Tampering |
表:Chromium版Edgeの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
「緊急」レベルの脆弱性
「緊急」と評価された脆弱性は、OMIの他にScripting Engineのコード実行の脆弱性があります。コードを実行するためには、攻撃者はユーザに特別な細工が施されたホームページを閲覧させるか、或いはファイルを開かせる必要があります。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-26435 | Windows Scripting Engine Memory Corruption Vulnerability | 緊急 | 8.1 | いいえ | いいえ | RCE |
表:その他の「緊急」レベルの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
リモートコード実行(RCE)の脆弱性
今回のリリースで対策が施されている他のRCEバグを見てみると、その多くがOffice、或いはOfficeコンポーネントに対するものです。Visio(Microsoftの作図ソフトウェア)はWord、Access、Excelの一般的な修正のため、稀にアップデートされることがあります。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-38661 | HEVC Video Extensions Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38655 | Microsoft Excel Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38644 | Microsoft MPEG-2 Video Extension Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38646 | Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38658 | Microsoft Office Graphics Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38660 | Microsoft Office Graphics Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38659 | Microsoft Office Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38653 | Microsoft Office Visio Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38654 | Microsoft Office Visio Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-38656 | Microsoft Word Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-36952 | Visual Studio Remote Code Execution Vulnerability | 重要 | 7.8 | いいえ | いいえ | RCE |
| CVE-2021-30606 | Chromium: CVE-2021-30606 Use after free in Blink | 高 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30607 | Chromium: CVE-2021-30607 Use after free in Permissions | 高 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30608 | Chromium: CVE-2021-30608 Use after free in Web Share | 高 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30609 | Chromium: CVE-2021-30609 Use after free in Sign-In | 高 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30610 | Chromium: CVE-2021-30610 Use after free in Extensions API | 高 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30632 | Chromium: CVE-2021-30632 Out of bounds write in V8 | 高 | N/A | いいえ | はい | RCE |
| CVE-2021-30623 | Chromium: CVE-2021-30623 Use after free in Bookmarks | 低 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30624 | Chromium: CVE-2021-30624 Use after free in Autofill | 低 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30611 | Chromium: CVE-2021-30611 Use after free in WebRTC | 中 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30612 | Chromium: CVE-2021-30612 Use after free in WebRTC | 中 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30613 | Chromium: CVE-2021-30613 Use after free in Base internals | 中 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30614 | Chromium: CVE-2021-30614 Heap buffer overflow in TabStrip | 中 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30616 | Chromium: CVE-2021-30616 Use after free in Media | 中 | N/A | いいえ | いいえ | RCE |
| CVE-2021-30622 | Chromium: CVE-2021-30622 Use after free in WebApp Installs | 中 | N/A | いいえ | いいえ | RCE |
表:リモートコード実行(RCE)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
特権昇格(EoP)の脆弱性
今月のリリースでは特権昇格(EoP)の脆弱性に対するパッチが全部で27件提供されています。中でも注目すべきは影響の大きいDNSです。Microsoftはバグの性質について、その脆弱性を悪用するにはローカル特権が必要となること以外に詳細を提供していません。Bind Filter Driver(ISC BIND DNSシステムとは異なる)のEoPの脆弱性と混同しないよう注意してください。
他の注目すべきEoPバグには、Edge独自と思われるEdge(Chromium)用アップデートがあります。つまり、バグはChromiumから移植されたものではなく、Googleにより修正されていたということです。
今回はVisual Studioの脆弱性も修正されています。これはZDIのリサーチャMichael DePlante氏により報告されています。この問題は、インストーラーが使用するリソースに設定されている権限が正しくないことが原因です。攻撃者はこの脆弱性につけこんで特権を昇格させ任意のコードを実行することができます。
Print Spooler向けのパッチもいくつかありますが、PrintNightmareの脆弱性のような影響や緊急性はないようです。
他のEoP脆弱性のパッチは、様々なWindowsコンポーネントに対応しています。ほぼすべてのケースで、攻撃者は影響を受けるシステムにログオンし、特別に細工されたコードを実行する必要があります。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-36968 | Windows DNS Elevation of Privilege Vulnerability | 重要 | 7.8 | はい | いいえ | EoP |
| CVE-2021-26436 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | 重要 | 6.1 | いいえ | いいえ | EoP |
| CVE-2021-36930 | Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability | 重要 | 5.3 | いいえ | いいえ | EoP |
| CVE-2021-38634 | Microsoft Windows Update Client Elevation of Privilege Vulnerability | 重要 | 7.1 | いいえ | いいえ | EoP |
| CVE-2021-38645 | Open Management Infrastructure Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38648 | Open Management Infrastructure Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38649 | Open Management Infrastructure Elevation of Privilege Vulnerability | 重要 | 7 | いいえ | いいえ | EoP |
| CVE-2021-26434 | Visual Studio Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36975 | Win32k Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38639 | Win32k Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38628 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38638 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36954 | Windows Bind Filter Driver Elevation of Privilege Vulnerability | 重要 | 8.8 | いいえ | いいえ | EoP |
| CVE-2021-36963 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36955 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38633 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36964 | Windows Event Tracing Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38630 | Windows Event Tracing Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38625 | Windows Kernel Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38626 | Windows Kernel Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38667 | Windows Print Spooler Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-38671 | Windows Print Spooler Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-40447 | Windows Print Spooler Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36973 | Windows Redirected Drive Buffering System Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36974 | Windows SMB Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36966 | Windows Subsystem for Linux Elevation of Privilege Vulnerability | 重要 | 7.8 | いいえ | いいえ | EoP |
| CVE-2021-36967 | Windows WLAN AutoConfig Service Elevation of Privilege Vulnerability | 重要 | 8 | いいえ | いいえ | EoP |
表:特権昇格(EoP)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
セキュリティ機能バイパス(SFB)の脆弱性
今月のリリースでは、セキュリティ機能がバイパスされる脆弱性(SFB)は4件だけでしたが、そのうちのひとつは大変馴染み深いものです。CVE-2021-38632では、攻撃者が電源オフ状態のシステムに直接アクセスし、暗号化されているデータにアクセスできてしまう可能性のあるバグが修正されています。これは漠然とではありますが、2008年に各地で議論された「cold boot」攻撃に類似しているような印象を受けます。今回修正されている他のSFBバグを利用すると、証明プロセスで信頼するために鍵証明書を発行するWindows Key Storage Providerを攻撃者が迂回できてしまう可能性がありました。Microsoftはこのバグの攻撃の複雑性を「低」と掲載していますが、明らかに警戒すべき脆弱性です。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-38632 | BitLocker Security Feature Bypass Vulnerability | 重要 | 5.7 | いいえ | いいえ | SFB |
| CVE-2021-38624 | Windows Key Storage Provider Security Feature Bypass Vulnerability | 重要 | 6.5 | いいえ | いいえ | SFB |
| CVE-2021-30617 | Chromium: CVE-2021-30617 Policy bypass in Blink | 中 | N/A | いいえ | いいえ | SFB |
| CVE-2021-30620 | Chromium: CVE-2021-30620 Insufficient policy enforcement in Blink | 中 | N/A | いいえ | いいえ | SFB |
表:セキュリティ機能バイパス(SFB)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
情報漏えい(Info)の脆弱性
今月リリースされた12件の情報漏洩バグを見てみると、単純に不特定多数のメモリ内容が漏洩するものが多くなっています。例外として、Windows Installerには、攻撃者にファイルシステムからの読み取られる可能性のあるバグがあります。また、Windows Storageコンポーネントにも同様の影響のあるバグが存在します。攻撃者がどのファイルでも読み込むことができるのか、或いは特定のファイルやロケーションしか読み込むことができないかは明らかになっていません。
MicrosoftによるとCVE-2021-26439のAndroid用Microsoft Accessibility Insightの脆弱性に関して漏えいする情報の内容は、「機密情報」とのことですので、それ相応に迅速な修正を行うべきでしょう。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-36956 | Azure Sphere Information Disclosure Vulnerability | 重要 | 4.4 | いいえ | いいえ | Info |
| CVE-2021-40448 | Microsoft Accessibility Insights for Android Information Disclosure Vulnerability | 重要 | 6.3 | いいえ | いいえ | Info |
| CVE-2021-38657 | Microsoft Office Graphics Component Information Disclosure Vulnerability | 重要 | 6.1 | いいえ | いいえ | Info |
| CVE-2021-38629 | Windows Ancillary Function Driver for WinSock Information Disclosure Vulnerability | 重要 | 6.5 | いいえ | いいえ | Info |
| CVE-2021-36962 | Windows Installer Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-36969 | Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-38635 | Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-38636 | Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-36960 | Windows SMB Information Disclosure Vulnerability | 重要 | 7.5 | いいえ | いいえ | Info |
| CVE-2021-36972 | Windows SMB Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-38637 | Windows Storage Information Disclosure Vulnerability | 重要 | 5.5 | いいえ | いいえ | Info |
| CVE-2021-26439 | Microsoft Edge for Android Information Disclosure Vulnerability | 中程度 | 4.6 | いいえ | いいえ | Info |
表:情報漏えい(Info)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
なりすまし・クロスサイトスクリプティングの脆弱性
9月のリリースには、なりすましの脆弱性が9件、クロスサイトスクリプティング(XSS)脆弱性の修正1件が含まれています。Microsoftはこの脆弱性について、何になりすます可能性が高いか詳細を一切提示していませんが、興味をそそるタイトルがつけられているものもあります。iOSおよびAndroid用Microsoft Edgeの修正は提供されていますが、スマートフォンでEdgeを使用する方は、ストアでアプリをアップデートしてください。
Windows Authenticodeのなりすましの脆弱性がありますが、ローカルかつ特権が必要とされています。このことは、攻撃者は他の方法で禁止されているものにアクセスできてしまう可能性がありますが、詳細が不明なため、推測の域を出ません。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-38641 | Microsoft Edge for Android Spoofing Vulnerability | 重要 | 6.1 | いいえ | いいえ | Spoofing |
| CVE-2021-38642 | Microsoft Edge for iOS Spoofing Vulnerability | 重要 | 6.1 | いいえ | いいえ | Spoofing |
| CVE-2021-38650 | Microsoft Office Spoofing Vulnerability | 重要 | 7.6 | いいえ | いいえ | Spoofing |
| CVE-2021-38651 | Microsoft SharePoint Server Spoofing Vulnerability | 重要 | 7.6 | いいえ | いいえ | Spoofing |
| CVE-2021-38652 | Microsoft SharePoint Server Spoofing Vulnerability | 重要 | 7.6 | いいえ | いいえ | Spoofing |
| CVE-2021-26437 | Visual Studio Code Spoofing Vulnerability | 重要 | 5.5 | いいえ | いいえ | Spoofing |
| CVE-2021-36959 | Windows Authenticode Spoofing Vulnerability | 重要 | 5.5 | いいえ | いいえ | Spoofing |
| CVE-2021-30619 | Chromium: CVE-2021-30619 UI Spoofing in Autofill | 中 | N/A | いいえ | いいえ | Spoofing |
| CVE-2021-30621 | Chromium: CVE-2021-30621 UI Spoofing in Autofill | 中 | N/A | いいえ | いいえ | Spoofing |
| CVE-2021-40440 | Microsoft Dynamics Business Central Cross-site Scripting Vulnerability | 重要 | 5.4 | いいえ | いいえ | XSS |
表:なりすまし(Spoofing)・クロスサイトスクリプティング(XSS)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
サービス拒否・改ざんの脆弱性
今月のリリースの締め括りはWindows InstallerのDenial-of-Service(DoS)バグ用の修正および改竄カテゴリにおけるMicrosoft Edge(Chromium)用の修正です。今回も、この脆弱性の結果、どのような改竄が行われ得るかに関する情報は一切提供されていません。しかし、ブラウザ上の改竄バグといえば、通常、攻撃者がブラウザ内のデータを閲覧・変更できることを指します。興味深いことに、Microsoftは今回のアップデートを9月9日にリリースしたようですが、Chromeチームがリリースしたバグ修正とは一致していないようです。
| CVE識別番号 | 脆弱性名 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
| CVE-2021-36961 | Windows Installer Denial of Service Vulnerability | 重要 | 5.5 | いいえ | いいえ | DoS |
| CVE-2021-38669 | Microsoft Edge (Chromium-based) Tampering Vulnerability | 重要 | 6.4 | いいえ | いいえ | Tampering |
表:サービス拒否(DoS)・改ざん(Tampering)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>
今月は、新たなアドバイザリはリリースされていません。最新のサービススタック更新プログラム・改訂版はADV990001で入手可能です。
本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/28753
