Microsoft 2021-09 月例アップデートは 2件のゼロデイと 60件の脆弱性に対応

Microsoft September 2021 Patch Tuesday fixes 2 zero-days, 60 flaws

2021/09/14 BleepingComputer — 今日は、Microsoft の September 2021 Patch Tuesday だ。それに伴い、ゼロデイ脆弱性2件を含む、合計で 60件の脆弱性が修正された。今日のアップデート 60件の脆弱性 (Edge を含むと86件) の内訳だが、3件の Critical、56件の High、1件の Mediumとなる。

また、脆弱性を分類すると、以下のようになる。

・27件:特権昇格の脆弱性
・2件:セキュリティ機能バイパスの脆弱性
・16件:リモートコード実行の脆弱性
・11件:情報漏えいの脆弱性
・1件:サービス妨害 (Denial of Service) の脆弱性
・8件:なりすましの脆弱性

セキュリティ以外の Windows 更新プログラムについては、本日の Windows 10 KB5005565 & KB5005566 累積更新プログラムを参照のこと。

Microsoft は Windows MSHTML のゼロデイを修正

Microsoft は、CVE-2021-40444 として追跡されている、Windows MSHTML リモートコード実行の脆弱性に対して、セキュリティ更新プログラムをリリースした。
先週の火曜日に Microsoft は、この新しいゼロデイ Windows MSHTML リモートコード実行の脆弱性を公開している。

この脆弱性 CVE-2021-40444 を利用する攻撃では、悪意の Word 文書の配布を介して、悪意の DLL ダウンロード/実行が生じ、被害者のコンピュータに Cobalt Strike ビーコンがインストールされていた。このビーコンにより、脅威アクターは対象デバイスにリモートアクセスし、ファイルを窃取し、ネットワーク全体に攻撃を横展開できる。

Microsoft が、この脆弱性を公開した直後から、脅威アクターやセキュリティ研究者がガイドを共有し始めたことで、この脆弱性を利用して、誰もが攻撃できるようになっていた。したがって、Microsoft は September 2021 Patch Tuesday で、この脆弱性に対するセキュリティ・アップデートを提供した。ただし、研究者たちは、緩和策のバイパスを含む、この脆弱性を悪用する多様な方法を発見しており、このセキュリティ・アップデートが、すべての手法を修正しているかどうかは不明である。

2つのゼロデイが修正されたが、そのうちの1つは積極的に悪用されている

September 2021 Patch Tuesday には、2つのゼロデイ脆弱性の修正も含まれており、そのうちの1つである MSHTML のバグはワイルドに悪用されている。Microsoft は、公式のセキュリティ更新プログラムがリリースされていない状態で、対象となる脆弱性が公知の場合、また、ワイルドに悪用された場合に、ゼロデイとして分類する。

公知ではあるが、ワイルドに悪用されていないゼロデイの脆弱性として、CVE-2021-36968 – Windows DNS 特権昇格の脆弱性が修正されている。また、ワイルドに悪用されている脆弱性として、CVE-2021-40444 – Windows MSHTML リモートコード実行の脆弱性が修正されている。

9月にアップデートを公開した他ベンダーは以下の通りである。

・Adobe:2製品のセキュリティ・アップデートを公開。
・Android:9月分のセキュリティ・アップデートを公開。
・Cisco:多数製品のセキュリティ・アップデートを公開。
・SAP:9月のセキュリティ・アップデートを公開。
・Apple:iOS/macOS のセキュリティ・アップデートを公開。

日本では水曜日の朝にくる、Patch Tuesday です。お隣のキュレーション・チームの作業も、ほぼ終わったようで、これからチェックに入るようです。Microsoft だけではなく、Apple も Adobe もあるという、早朝から忙しい一日になりました。なお、CVE-2021-40444 に関しては、「Microsoft Office 365 ゼロデイ攻撃 CVE-2021-40444 回避策」をご参照ください。

%d bloggers like this: