Microsoft 2021-08 月例アップデートは 3件のゼロデイと 44件の脆弱性に対応

Microsoft August 2021 Patch Tuesday fixes 3 zero-days, 44 flaws

2021/08/10 BleepingComputer — 今日は Microsoft の August 2021 Patch Tuesday であり、3つのゼロデイ脆弱性を含む 44件の脆弱性が修正された。普段から、パッチのインストールに奔走する Windows の管理者には、どうか頑張ってほしい。この 44件の脆弱性 (Microsoft Edge を含めば 51件) の内訳だが、Critical は7件で、Important は 37件である。また、44件の脆弱性のうち、リモートコード実行が 13件で、情報開示が8件、サービス拒否が2件、成りすましが4件となっている。セキュリティ以外の Windows 更新プログラムについては、Windows 10 KB5005033 & KB5005031 累積更新プログラムを参照してほしい。

PrintNightmare / PetitPotam 攻撃に対する修正

Microsoft は、先月発見された2つのゼロデイ脆弱性に対する、待望のセキュリティ更新プログラムをリリースした。このセキュリティ更新プログラムの1つは、PrintNightmare 脆弱性を修正したものだ。この脆弱性は、脅威アクターが自分の支配下にあるリモート・プリント・サーバーに接続するだけで、SYSTEM レベルの特権を得られるというものだ。そのための対策として、Point and Print Windows 機能を用いてプリンター・ドライバーをインストールする際に、管理者権限を持つユーザーが必要になった。また、Microsoftは、MS-EFSRPC API を使用して、攻撃者の制御下にあるリモートのリレーサーバーとデバイスを強制的にネゴシエートさせる、PetitPotam NTLM リレー攻撃ベクトルを修正した。この脆弱性は、脅威アクターの権限が低い場合であっても、ドメイン・コントローラや Windows ドメイン全体の乗っ取りに至るというものだ。

3つのゼロデイが修正されたが、1つは積極的に悪用されている

8月の Patch Tuesday には、3つのゼロデイ脆弱性対策が含まれているが、そのうちの1つは実際に悪用されている。Microsoft では、公式のセキュリティ更新プログラムが公開されていない、またはリリースされていない場合であっても、積極的に悪用されている脆弱性をゼロデイと分類している。公表されているが、積極的に悪用されていないゼロデイ脆弱性は以下の2件だ。

• CVE-2021-36936 – Windows Print Spooler RCE Vulnerability
• CVE-2021-36942 – Windows LSA Spoofing Vulnerability

CVE-2021-36942 は、ドメインコントローラを乗っ取ることができる、PetitPotam NTLM リレー攻撃に関連する脆弱性である。なお、積極的に悪用されている特権昇格の脆弱性は、Microsoft Security Response Center (MSRC) および Microsoft Threat Intelligence Center (MSTIC) により発見されたものだ。

• CVE-2021-36948 – Windows Update Medic Service Elevation of Privilege

現時点では、この脆弱性が、脅威アクターにより、どのように悪用され攻撃されたのかは不明である。

8月の Patch Tuesday ですが、それほどの件数ではありませんでしたね。この日、お隣の脆弱性情報キュレーション・チームは、朝の6時ころから動き始め、9時前にはレポートを FIX していたようです。Microsoft のサイトからダウンロードした Excel ファイルをソートして、Win 系と Office 系に振り分けて、それぞれを入力する人と、出来上がったものを順次チェックしていく人の、三人チームで対処しています。月に一度の、朝から大騒ぎの一日です。

%d bloggers like this: