本記事は、Security Research & Defense のブログ “Assessing risk for the May 2014 security updates” (2014 年 5 月 13 日公開) を翻訳した記事です。
本日、13 件の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、2 件は最大深刻度が「緊急」、そして 6 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。
セキュリティ情報 | 最も起こりうる攻撃 | セキュリティ情報最大深刻度 | 最大悪用可能性指標 | 公開 30 日以内の影響 | プラットフォーム緩和策、および特記事項 |
(Internet Explorer) | 被害者が悪意のある Web ページを閲覧する。 | 緊急 | 1 | CVE-2014-1815 を利用する悪用が引き続き発生する可能性があります。 | この更新プログラムには、5 月 1 日の定例外セキュリティ情報 MS14-021 で解決された CVE-2014-1776 用の修正が含まれています。ですが、MS14-029 は累積的な更新プログラムではありません。この更新プログラムを適用する前に、まず初めに、最新の Internet Explorer 用の累積的なセキュリティ更新プログラムをインストールしてください。 |
(コモン コントロール - MSCOMCTL) | 被害者が悪意のある RTF ドキュメント を開く。 | 重要 | なし | セキュリティ機能のバイパスのみです。コード実行による悪用が直接行われる可能性は低いです。 | この脆弱性は、現場で悪用されている以下の CVE について ASLR のバイパスとして利用されています:
この更新プログラムをインストールすると、今後起こりうる、あらゆる悪用で、このコントロールが ASLR のバイパスとして利用されるのを防ぎます。 |
(グループ ポリシー 基本設定) | 既にドメイン参加のワークステーションに侵入した攻撃者が、そのアクセスを、グループ ポリシー基本設定をクエリするために利用し、難読化されたドメイン アカウントの資格情報を発見する可能性がある。 | 重要 | 1 | 攻撃者が、エンタープライズ ネットワーク中を縦横無尽に移動するために、この侵入後の悪用 (post-exploitation) 手法として悪用されることが発生する可能性があります。 | セキュリティ更新プログラムにより、今後この機能が利用されるのを阻止できますが、管理者が以前に保存してまだ利用可能なパスワードを削除するのが必須です。この問題および悪用を阻止する方法については、SRD blog 投稿 (英語情報) で詳細に説明しています。 |
(Shell) | 既に低い特権のユーザーとしてマシン上でコードを実行している攻撃者が、特権の低いプロセスを昇格するために、ShellExecute 関数を利用して、昇格された/高い特権のプロセスを巧みに利用する。 | 重要 | 1 | 限られた数のコモディティ (一般に流通しているという意味) マルウェア サンプルで利用されていると分かりました。低い特権から高い特権に昇格するために、この脆弱性を利用しようと試みるマルウェアが引き続き発生する可能性があります。 | 以下のマルウェア ファミリに見られるように、それぞれが既にマイクロソフトのマルウェア対策製品で阻止されています: Backdoor:Win32/Koceg |
(SharePoint) | SharePoint サーバーに任意のコンテンツをアップロード可能な攻撃者が、SharePoint サービス アカウントの権限でコードを実行する可能性がある。 | 緊急 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | 攻撃者は、脆弱性を引き起こすためには、 SharePoint サーバーにコンテンツをアップロードする権限を与えられていなければなりません。悪用に利用できる特質ではありますが、この種の脆弱性が蔓延した例は通常ありません。 |
(Office) | 攻撃者は、被害者をマイクロソフト オンライン サービスに認証するよう誘導し、攻撃者には認証トークンを取得、または再使用する。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | この更新プログラムは、トークン再使用の脆弱性だけではなく、中国語の文法チェッカー DLL を含む DLL プリロードの問題も解決します。マイクロソフトは、最近、この種類の攻撃からアプリケーションを保護する最適な方法について網羅しているドキュメントを作成し、投稿しました。ガイダンスは blog 投稿 (英語情報) を参照してください。 |
(.NET Framework) | .NET Remotingを利用して開発されたカスタム アプリケーションは、特別に細工されたデータへの応答として攻撃コード実行のアクセスを与える可能性がある。 | 重要 | 1 | 30 日以内に悪用コードが作成される可能性があります。 | .NET Remotingはあまり使われておらず、.NET Framework version 2 により開発されたアプリケーションが主です。 |
(iSCSI) | iSCSI エンドポイントに到達可能な攻撃者が、Windows ホスト上で恒久的なリソースの消耗をもたらす、サービス拒否の攻撃を起こす可能性がある。 | 重要 | 3 | サービス拒否のみです。直接コードが実行される可能性はありません。 |
|
ジョナサン・ネス、MSRC エンジニアリング チーム