セキュリティアップデート解説 2021年9月:Microsoft編・MSHTMLの脆弱性「CVE-2021-40444」など-セキュリティブログ

この9月のセキュリティアップデートではいつものMicrosoft、Adobeに加え、Google Chrome、Appleについても注目すべきアップデートがリリースされています。
まず今回はMicrosoftのアップデートについて、トレンドマイクロセキュリティブログより紹介します。

■Microsoft社による2021年9月のセキュリティ更新プログラム

総括

Microsoftは、9月版として以下に関する66件の脆弱性に対する修正パッチをリリースしました。今回のパッチは今月すでに実施済みのMicrosoft Edge (Chromium-based)のCVEを対象とした20件のパッチに追加する形で実施されました。
その結果、9月にパッチされたCVEの総数は86件になりました。このうち、11件の脆弱性は「Zero Day Initiative」を介して発見・報告されました。

  • Microsoft Windows
  • Windows components
  • Microsoft Edge (Chromium, iOS, and Android)
  • Azure
  • Office
  • Office Components
  • SharePoint Server
  • Microsoft Windows DNS
  • Windows Subsystem for Linux

この9月に修正された66件の新たなCVEのうち、3件は深刻度「緊急」、62件は「重要」、1件は「警告」と評価されています。先月と同様に、CVE-2021-40444を始めとするアクティブな攻撃を受けているバグへ対応するためにリソースを割いています。これとは別のバグが一般に公開されているバグとして掲載されていますが、今のところ、悪用された形跡はありません。

注目すべき脆弱性

まずは、注目すべき脆弱性について解説します。

CVE-2021-40444 – Microsoft MSHTMLにおけるリモートコード実行

このパッチは、現在Office文書を介して悪用されているバグを修正します。その悪用方法とは、まず特別に細工されたActiveX controlがOffice文書に埋め込まれ、ターゲットに送信されます。これを脆弱性が存在するシステム上で開くと、悪意のあるコードがログオンユーザの権限で実行されます。

Microsoftは回避策としてActiveXの無効化を推奨していますが、あるレポートによると効果がないともされています。現時点での最も効果的な防御策は、パッチを適用し、不審なOffice文書を開かないことです。

CVE-2021-38647 – オープンマネジメントインフラストラクチャにおけるリモートコード実行

この脆弱性は共通脆弱性評価システム(CVSS)9.8と最も深刻な評価を受けた脆弱性です。これは、オープンマネジメントインフラストラクチャ(OMI)のリモートコード実行のバグです。OMIはDMTF CIM/WBEM基準に関する生産品質の実装を開発するオープンソースのプロジェクトです。この脆弱性にはユーザのやり取りや特権が一切要求されないので、攻撃者は特殊な仕掛けを施したメッセージを送信するだけで、感染しているシステム上でコードを実行することができます。OMIのユーザはこのパッチをなるべく迅速に適用してください。

CVE-2021-36965 – Windows WLAN AutoConfig Serviceにおけるリモートコード実行

これは、ネットワークに近接する攻撃者が影響を受けるシステム上でシステムレベルでのコード実行を可能にし得る脆弱性です。これは攻撃者が近接ネットワーク上にいる場合、ターゲットを完全に乗っ取ることができてしまうことを意味します。これは大勢の人がセキュリティ対策のないWi-Fiネットワークを利用しているコーヒーショップなどを想定すると、かなり現実的と思われます。さらに、特権もユーザ同士のやりとりも一切要求されません。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability 重要 8.8 はい はい RCE
CVE-2021-38647 Open Management Infrastructure Remote Code Execution Vulnerability 緊急 9.8 いいえ いいえ RCE
CVE-2021-36965 Windows WLAN AutoConfig Service Remote Code Execution Vulnerability 緊急 8.8 いいえ いいえ RCE

表:注目の3件の「緊急」レベルの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

Chromium版Edgeの脆弱性

先月同様、今月の表にもChromium版Edgeのアップデートが掲載されています。その脆弱性はGoogleが適用している重大度と併記されており、Microsoftの標準的な名称とは異なります。GoogleはCVSSスコアを割り振っていないため、表には何も掲載されていません。念のため、これらのバグは昨日のリリースでGoogle Chromeにより修正されたバグとは異なります。
そのバグのパッチはEdge(Chromium)の今後のバージョンに組み込まれるはずです。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-26436 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability 重要 6.1 いいえ いいえ EoP
CVE-2021-36930 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability 重要 5.3 いいえ いいえ EoP
CVE-2021-38669 Microsoft Edge (Chromium-based) Tampering Vulnerability 重要 6.4 いいえ いいえ Tampering

表:Chromium版Edgeの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

「緊急」レベルの脆弱性

「緊急」と評価された脆弱性は、OMIの他にScripting Engineのコード実行の脆弱性があります。コードを実行するためには、攻撃者はユーザに特別な細工が施されたホームページを閲覧させるか、或いはファイルを開かせる必要があります。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-26435 Windows Scripting Engine Memory Corruption Vulnerability 緊急 8.1 いいえ いいえ RCE

表:その他の「緊急」レベルの脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

リモートコード実行(RCE)の脆弱性

今回のリリースで対策が施されている他のRCEバグを見てみると、その多くがOffice、或いはOfficeコンポーネントに対するものです。Visio(Microsoftの作図ソフトウェア)はWord、Access、Excelの一般的な修正のため、稀にアップデートされることがあります。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-38661 HEVC Video Extensions Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38655 Microsoft Excel Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38644 Microsoft MPEG-2 Video Extension Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38646 Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38658 Microsoft Office Graphics Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38660 Microsoft Office Graphics Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38659 Microsoft Office Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38653 Microsoft Office Visio Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38654 Microsoft Office Visio Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-38656 Microsoft Word Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-36952 Visual Studio Remote Code Execution Vulnerability 重要 7.8 いいえ いいえ RCE
CVE-2021-30606 Chromium: CVE-2021-30606 Use after free in Blink N/A いいえ いいえ RCE
CVE-2021-30607 Chromium: CVE-2021-30607 Use after free in Permissions N/A いいえ いいえ RCE
CVE-2021-30608 Chromium: CVE-2021-30608 Use after free in Web Share N/A いいえ いいえ RCE
CVE-2021-30609 Chromium: CVE-2021-30609 Use after free in Sign-In N/A いいえ いいえ RCE
CVE-2021-30610 Chromium: CVE-2021-30610 Use after free in Extensions API N/A いいえ いいえ RCE
CVE-2021-30632 Chromium: CVE-2021-30632 Out of bounds write in V8 N/A いいえ はい RCE
CVE-2021-30623 Chromium: CVE-2021-30623 Use after free in Bookmarks N/A いいえ いいえ RCE
CVE-2021-30624 Chromium: CVE-2021-30624 Use after free in Autofill N/A いいえ いいえ RCE
CVE-2021-30611 Chromium: CVE-2021-30611 Use after free in WebRTC N/A いいえ いいえ RCE
CVE-2021-30612 Chromium: CVE-2021-30612 Use after free in WebRTC N/A いいえ いいえ RCE
CVE-2021-30613 Chromium: CVE-2021-30613 Use after free in Base internals N/A いいえ いいえ RCE
CVE-2021-30614 Chromium: CVE-2021-30614 Heap buffer overflow in TabStrip N/A いいえ いいえ RCE
CVE-2021-30616 Chromium: CVE-2021-30616 Use after free in Media N/A いいえ いいえ RCE
CVE-2021-30622 Chromium: CVE-2021-30622 Use after free in WebApp Installs N/A いいえ いいえ RCE

表:リモートコード実行(RCE)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

特権昇格(EoP)の脆弱性

今月のリリースでは特権昇格(EoP)の脆弱性に対するパッチが全部で27件提供されています。中でも注目すべきは影響の大きいDNSです。Microsoftはバグの性質について、その脆弱性を悪用するにはローカル特権が必要となること以外に詳細を提供していません。Bind Filter Driver(ISC BIND DNSシステムとは異なる)のEoPの脆弱性と混同しないよう注意してください。

他の注目すべきEoPバグには、Edge独自と思われるEdge(Chromium)用アップデートがあります。つまり、バグはChromiumから移植されたものではなく、Googleにより修正されていたということです。

今回はVisual Studioの脆弱性も修正されています。これはZDIのリサーチャMichael DePlante氏により報告されています。この問題は、インストーラーが使用するリソースに設定されている権限が正しくないことが原因です。攻撃者はこの脆弱性につけこんで特権を昇格させ任意のコードを実行することができます。

Print Spooler向けのパッチもいくつかありますが、PrintNightmareの脆弱性のような影響や緊急性はないようです。

他のEoP脆弱性のパッチは、様々なWindowsコンポーネントに対応しています。ほぼすべてのケースで、攻撃者は影響を受けるシステムにログオンし、特別に細工されたコードを実行する必要があります。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-36968 Windows DNS Elevation of Privilege Vulnerability 重要 7.8 はい いいえ EoP
CVE-2021-26436 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability 重要 6.1 いいえ いいえ EoP
CVE-2021-36930 Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability 重要 5.3 いいえ いいえ EoP
CVE-2021-38634 Microsoft Windows Update Client Elevation of Privilege Vulnerability 重要 7.1 いいえ いいえ EoP
CVE-2021-38645 Open Management Infrastructure Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38648 Open Management Infrastructure Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38649 Open Management Infrastructure Elevation of Privilege Vulnerability 重要 7 いいえ いいえ EoP
CVE-2021-26434 Visual Studio Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36975 Win32k Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38639 Win32k Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38628 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38638 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36954 Windows Bind Filter Driver Elevation of Privilege Vulnerability 重要 8.8 いいえ いいえ EoP
CVE-2021-36963 Windows Common Log File System Driver Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36955 Windows Common Log File System Driver Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38633 Windows Common Log File System Driver Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36964 Windows Event Tracing Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38630 Windows Event Tracing Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38625 Windows Kernel Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38626 Windows Kernel Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38667 Windows Print Spooler Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-38671 Windows Print Spooler Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-40447 Windows Print Spooler Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36973 Windows Redirected Drive Buffering System Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36974 Windows SMB Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36966 Windows Subsystem for Linux Elevation of Privilege Vulnerability 重要 7.8 いいえ いいえ EoP
CVE-2021-36967 Windows WLAN AutoConfig Service Elevation of Privilege Vulnerability 重要 8 いいえ いいえ EoP

表:特権昇格(EoP)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

セキュリティ機能バイパス(SFB)の脆弱性

今月のリリースでは、セキュリティ機能がバイパスされる脆弱性(SFB)は4件だけでしたが、そのうちのひとつは大変馴染み深いものです。CVE-2021-38632では、攻撃者が電源オフ状態のシステムに直接アクセスし、暗号化されているデータにアクセスできてしまう可能性のあるバグが修正されています。これは漠然とではありますが、2008年に各地で議論された「cold boot」攻撃に類似しているような印象を受けます。今回修正されている他のSFBバグを利用すると、証明プロセスで信頼するために鍵証明書を発行するWindows Key Storage Providerを攻撃者が迂回できてしまう可能性がありました。Microsoftはこのバグの攻撃の複雑性を「低」と掲載していますが、明らかに警戒すべき脆弱性です。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-38632 BitLocker Security Feature Bypass Vulnerability 重要 5.7 いいえ いいえ SFB
CVE-2021-38624 Windows Key Storage Provider Security Feature Bypass Vulnerability 重要 6.5 いいえ いいえ SFB
CVE-2021-30617 Chromium: CVE-2021-30617 Policy bypass in Blink N/A いいえ いいえ SFB
CVE-2021-30620 Chromium: CVE-2021-30620 Insufficient policy enforcement in Blink N/A いいえ いいえ SFB

表:セキュリティ機能バイパス(SFB)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

情報漏えい(Info)の脆弱性

今月リリースされた12件の情報漏洩バグを見てみると、単純に不特定多数のメモリ内容が漏洩するものが多くなっています。例外として、Windows Installerには、攻撃者にファイルシステムからの読み取られる可能性のあるバグがあります。また、Windows Storageコンポーネントにも同様の影響のあるバグが存在します。攻撃者がどのファイルでも読み込むことができるのか、或いは特定のファイルやロケーションしか読み込むことができないかは明らかになっていません。

MicrosoftによるとCVE-2021-26439のAndroid用Microsoft Accessibility Insightの脆弱性に関して漏えいする情報の内容は、「機密情報」とのことですので、それ相応に迅速な修正を行うべきでしょう。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-36956 Azure Sphere Information Disclosure Vulnerability 重要 4.4 いいえ いいえ Info
CVE-2021-40448 Microsoft Accessibility Insights for Android Information Disclosure Vulnerability 重要 6.3 いいえ いいえ Info
CVE-2021-38657 Microsoft Office Graphics Component Information Disclosure Vulnerability 重要 6.1 いいえ いいえ Info
CVE-2021-38629 Windows Ancillary Function Driver for WinSock Information Disclosure Vulnerability 重要 6.5 いいえ いいえ Info
CVE-2021-36962 Windows Installer Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-36969 Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-38635 Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-38636 Windows Redirected Drive Buffering SubSystem Driver Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-36960 Windows SMB Information Disclosure Vulnerability 重要 7.5 いいえ いいえ Info
CVE-2021-36972 Windows SMB Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-38637 Windows Storage Information Disclosure Vulnerability 重要 5.5 いいえ いいえ Info
CVE-2021-26439 Microsoft Edge for Android Information Disclosure Vulnerability 中程度 4.6 いいえ いいえ Info

表:情報漏えい(Info)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

なりすまし・クロスサイトスクリプティングの脆弱性

9月のリリースには、なりすましの脆弱性が9件、クロスサイトスクリプティング(XSS)脆弱性の修正1件が含まれています。Microsoftはこの脆弱性について、何になりすます可能性が高いか詳細を一切提示していませんが、興味をそそるタイトルがつけられているものもあります。iOSおよびAndroid用Microsoft Edgeの修正は提供されていますが、スマートフォンでEdgeを使用する方は、ストアでアプリをアップデートしてください。

Windows Authenticodeのなりすましの脆弱性がありますが、ローカルかつ特権が必要とされています。このことは、攻撃者は他の方法で禁止されているものにアクセスできてしまう可能性がありますが、詳細が不明なため、推測の域を出ません。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-38641 Microsoft Edge for Android Spoofing Vulnerability 重要 6.1 いいえ いいえ Spoofing
CVE-2021-38642 Microsoft Edge for iOS Spoofing Vulnerability 重要 6.1 いいえ いいえ Spoofing
CVE-2021-38650 Microsoft Office Spoofing Vulnerability 重要 7.6 いいえ いいえ Spoofing
CVE-2021-38651 Microsoft SharePoint Server Spoofing Vulnerability 重要 7.6 いいえ いいえ Spoofing
CVE-2021-38652 Microsoft SharePoint Server Spoofing Vulnerability 重要 7.6 いいえ いいえ Spoofing
CVE-2021-26437 Visual Studio Code Spoofing Vulnerability 重要 5.5 いいえ いいえ Spoofing
CVE-2021-36959 Windows Authenticode Spoofing Vulnerability 重要 5.5 いいえ いいえ Spoofing
CVE-2021-30619 Chromium: CVE-2021-30619 UI Spoofing in Autofill N/A いいえ いいえ Spoofing
CVE-2021-30621 Chromium: CVE-2021-30621 UI Spoofing in Autofill N/A いいえ いいえ Spoofing
CVE-2021-40440 Microsoft Dynamics Business Central Cross-site Scripting Vulnerability 重要 5.4 いいえ いいえ XSS

表:なりすまし(Spoofing)・クロスサイトスクリプティング(XSS)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

 

サービス拒否・改ざんの脆弱性

今月のリリースの締め括りはWindows InstallerのDenial-of-Service(DoS)バグ用の修正および改竄カテゴリにおけるMicrosoft Edge(Chromium)用の修正です。今回も、この脆弱性の結果、どのような改竄が行われ得るかに関する情報は一切提供されていません。しかし、ブラウザ上の改竄バグといえば、通常、攻撃者がブラウザ内のデータを閲覧・変更できることを指します。興味深いことに、Microsoftは今回のアップデートを9月9日にリリースしたようですが、Chromeチームがリリースしたバグ修正とは一致していないようです。

CVE識別番号 脆弱性名 深刻度 CVSS 一般公開 悪用確認 種類
CVE-2021-36961 Windows Installer Denial of Service Vulnerability 重要 5.5 いいえ いいえ DoS
CVE-2021-38669 Microsoft Edge (Chromium-based) Tampering Vulnerability 重要 6.4 いいえ いいえ Tampering

表:サービス拒否(DoS)・改ざん(Tampering)の脆弱性(2021年9月の更新プログラム)
<出典:トレンドマイクロ セキュリティブログ>

今月は、新たなアドバイザリはリリースされていません。最新のサービススタック更新プログラム・改訂版はADV990001で入手可能です。

 



本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/28753

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る