2014年5月のセキュリティ更新プログラムのリスク評価
本記事は、Security Research & Defense のブログ “Assessing risk for the May 2014 security updates”(2014年5月13日公開)を翻訳した記事です。
本日、13件のCVEを解決する8件のセキュリティ情報をリリースしました。セキュリティ情報の内、2件は最大深刻度が「緊急」、そして6件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
| セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開30日以内の影響 | プラットフォーム緩和策、および特記事項 |
|---|---|---|---|---|---|
| MS14-029(Internet Explorer) | 被害者が悪意のあるWebページを閲覧する。 | 緊急 | 1 | CVE-2014-1815を利用する悪用が引き続き発生する可能性があります。 | この更新プログラムには、5月1日の定例外セキュリティ情報MS14-021で解決されたCVE-2014-1776用の修正が含まれています。ですが、MS14-029は累積的な更新プログラムではありません。この更新プログラムを適用する前に、まず初めに、最新のInternet Explorer用の累積的なセキュリティ更新プログラムをインストールしてください。 |
| MS14-024(コモンコントロール - MSCOMCTL) | 被害者が悪意のあるRTFドキュメントを開く。 | 重要 | なし | セキュリティ機能のバイパスのみです。コード実行による悪用が直接行われる可能性は低いです。 | この脆弱性は、現場で悪用されている以下のCVEについてASLRのバイパスとして利用されています:CVE-2012-0158、CVE-2012-1856、CVE-2013-3906、CVE-2014-1761。この更新プログラムをインストールすると、今後起こりうる、あらゆる悪用で、このコントロールがASLRのバイパスとして利用されるのを防ぎます。 |
| MS14-025(グループポリシー基本設定) | 既にドメイン参加のワークステーションに侵入した攻撃者が、そのアクセスを、グループポリシー基本設定をクエリするために利用し、難読化されたドメインアカウントの資格情報を発見する可能性がある。 | 重要 | 1 | 攻撃者が、エンタープライズネットワーク中を縦横無尽に移動するために、この侵入後の悪用(post-exploitation)手法として悪用されることが発生する可能性があります。 | セキュリティ更新プログラムにより、今後この機能が利用されるのを阻止できますが、管理者が以前に保存してまだ利用可能なパスワードを削除するのが必須です。この問題および悪用を阻止する方法については、SRD blog投稿(英語情報)で詳細に説明しています。 |
| MS14-027(Shell) | 既に低い特権のユーザーとしてマシン上でコードを実行している攻撃者が、特権の低いプロセスを昇格するために、ShellExecute関数を利用して、昇格された/高い特権のプロセスを巧みに利用する。 | 重要 | 1 | 限られた数のコモディティ(一般に流通しているという意味)マルウェアサンプルで利用されていると分かりました。低い特権から高い特権に昇格するために、この脆弱性を利用しようと試みるマルウェアが引き続き発生する可能性があります。 | 以下のマルウェアファミリに見られるように、それぞれが既にマイクロソフトのマルウェア対策製品で阻止されています:Backdoor:Win32/Koceg、Backdoor:Win32/Optixpro.T、Backdoor:Win32/Small、Backdoor:Win32/Xtrat、PWS:Win32/Zbot、Rogue:Win32/Elepater、Rogue:Win32/FakeRean、Trojan:Win32/Dynamer!dtc、Trojan:Win32/Malagent、Trojan:Win32/Malex.gen、Trojan:Win32/Meredrop、Trojan:Win32/Otran、Trojan:Win32/Rimod、Trojan:Win32/Sisron、TrojanDropper:Win32/Sirefef、TrojanSpy:Win32/Juzkapy、VirTool:MSIL/Injector、VirTool:Win32/Obfuscator、Virus:Win32/Neshta、Worm:Win32/Autorun、Worm:Win32/Fasong、Worm:Win32/Ludbaruma、Worm:Win32/Rahiwi |
| MS14-022(SharePoint) | SharePointサーバーに任意のコンテンツをアップロード可能な攻撃者が、SharePointサービスアカウントの権限でコードを実行する可能性がある。 | 緊急 | 1 | 30日以内に悪用コードが作成される可能性があります。 | 攻撃者は、脆弱性を引き起こすためには、SharePointサーバーにコンテンツをアップロードする権限を与えられていなければなりません。悪用に利用できる特質ではありますが、この種の脆弱性が蔓延した例は通常ありません。 |
| MS14-023(Office) | 攻撃者は、被害者をマイクロソフトオンラインサービスに認証するよう誘導し、攻撃者には認証トークンを取得、または再使用する。 | 重要 | 1 | 30日以内に悪用コードが作成される可能性があります。 | この更新プログラムは、トークン再使用の脆弱性だけではなく、中国語の文法チェッカーDLLを含むDLLプリロードの問題も解決します。マイクロソフトは、最近、この種類の攻撃からアプリケーションを保護する最適な方法について網羅しているドキュメントを作成し、投稿しました。ガイダンスはblog投稿(英語情報)を参照してください。 |
| MS14-026(.NET Framework) | .NET Remotingを利用して開発されたカスタムアプリケーションは、特別に細工されたデータへの応答として攻撃コード実行のアクセスを与える可能性がある。 | 重要 | 1 | 30日以内に悪用コードが作成される可能性があります。 | .NET Remotingはあまり使われておらず、.NET Framework version 2により開発されたアプリケーションが主です。 |
| MS14-028(iSCSI) | iSCSIエンドポイントに到達可能な攻撃者が、Windowsホスト上で恒久的なリソースの消耗をもたらす、サービス拒否の攻撃を起こす可能性がある。 | 重要 | 3 | サービス拒否のみです。直接コードが実行される可能性はありません。 |
ジョナサン・ネス、MSRCエンジニアリングチーム