2021年6月のセキュリティアップデートレビュー解説
今月の第2火曜日となった2021年6月8日、Adobe社およびMicrosoft社から更新プログラムがリリースされました。最新のセキュリティ更新プログラムの詳細について確認しましょう。
今月の第2火曜日となった2021年6月8日、Adobe社およびMicrosoft社から更新プログラムがリリースされました。最新のセキュリティ更新プログラムの詳細について確認しましょう。
■Adobe社による2021年6月のセキュリティアップデート
今月Adobe社は、「Adobe Connect」、「Acrobat および Reader」、「Photoshop」、「Photoshop Elements」、「Experience Manager」、「Creative Cloud」、「Photoshop Elements」、「Experience Manager」、「Creative Cloud」、「RoboHelp」、「Premiere Elements」、「Animate」、「After Effects」に確認された39件の脆弱性に対処する10件のパッチをリリースしました。確認された脆弱性のうち9件はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。中でも注目されるアップデートは、ReaderとAfter Effectsの脆弱性に対処するものです。「Critical(緊急)」に該当するReaderの脆弱性では、ユーザが特別に細工されたPDFファイルを対象となるバージョンのReaderで開いた場合、攻撃者によるコード実行が可能になります。ZDI programで発見されたもう一つのバグである解放済みメモリ使用(use-after-free、UAF)の脆弱性は、AcroForm(Acrobat で作成された従来のフォーム)のフィールドの処理に問題があります。この問題は、オブジェクトに対する操作を実行する前に、オブジェクトの存在が検証されていないことに起因します。After Effectsのアップデートでは、「Moderate (警告)」から「緊急」レベルまでの多数の脆弱性が修正されています。中でも最も深刻なものは、ログオンしているユーザのレベルでコードが実行される可能性がある脆弱性です。
Adobe社が今月対処した脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実を確認されている脆弱性として報告されているものはありません。
■Microsoft社による2021年6月のセキュリティ更新プログラム
6月Microsoft社は、「Microsoft Windows」、「.NET Core & Visual Studio」、「Microsoft Office」、「Microsoft Edge(ChromiumおよびEdgeHTML版)」、「SharePoint Server」、「Hyper-V」、「Visual Studio Code - Kubernetes Tools」、「Windows HTML Platform」、「Windows Remote Desktop」に存在する50件の脆弱性に対処するする修正プログラムをリリースしました。これらの脆弱性のうち、合計8件がZDI programを通じて発見されたものです。合計50件の脆弱性のうち、深刻度「Critical(緊急)」と評価されているものは5件、「Important(重要)と評価されているものが45件です。Microsoft社によると、これらの脆弱性のうち6件については現在悪用の事実が確認されており、3件についてはリリース時点で一般に公開済みと報告されています。
今月のアップデートのうち、興味深いものをいくつか見ていきましょう。まず、悪用の事実を確認済みと記載された脆弱性について、いくつか紹介します。
- CVE-2021-33742 - Windows MSHTML プラットフォームのリモートコード実行の脆弱性
この脆弱性は、特別に細工されたWebコンテンツをユーザが閲覧した場合、攻撃者がターゲットのシステム上でコードを実行できる可能性があります。この脆弱性は、Trident (MSHTML) エンジン自体に存在するため、 Internet Explorer (IE)だけでなく、様々なアプリケーションに影響を与えます。この脆弱性を悪用する攻撃がどの程度広がっているのかは不明ですが、サポートされているすべてのWindowsのバージョンに影響を与えることを考えると、最優先で更新プログラムをテストし、適用すべきでしょう。
- CVE-2021-31199/CVE-2021-31201 - Microsoft Enhanced Cryptographic Provider の特権昇格の脆弱性
この2つの脆弱性は、先月「悪用の事実を確認済み」と報告されたAdobe Readerのコード実行が可能になる脆弱性「CVE-2021-28550」と関連しています。特権昇格とコード実行のバグがペアで利用されるのはよくあることで、今回の2つの脆弱性は一連の脆弱性攻撃の特権昇格に当たる部分と考えられます。実際に確認されている脆弱性攻撃に対処するために対応箇所が異なるパッチが遅れて提供されるのは少し珍しいことですが、これらの脆弱性が解消されたことは喜ばしいことです。
- CVE-2021-31956 - Windows NTFS の特権昇格の脆弱性
この脆弱性も悪用の事実が確認されている脆弱性として報告されているものです。同じリサーチャーによって発見されたもう一つのバグ、情報漏えいの脆弱性「CVE-2021-31955」も、同様に悪用の事実を確認済みと記載されています。これらの脆弱性は、メモリリークを利用して権限昇格するために必要なアドレスを取得するというよく利用される手法であるため、組み合わせて用いられた可能性があります。単独で悪用された場合でも影響は大きいですが、組み合わせればさらに深刻化する可能性があります。優先度を上げてパッチのテストおよび適用を実行してください。
- CVE-2021-31962 - Kerberos AppContainer のセキュリティ機能バイパスの脆弱性
攻撃者はこの脆弱性を悪用してKerberos 認証をバイパスし、任意のサービスプリンシパル名 (SPN)で認証する可能性があります。この脆弱性は、今月対処された脆弱性の中で最高のCVSSスコア9.4と評価されています。この脆弱性の悪用に成功すると、攻撃者は認証をバイパスし、SPN でアクセス可能な任意のサービスにアクセスできる可能性があります。SPN認証は、Kerberosのセキュリティにおいて極めて重要であることから、最優先で適用されるべきパッチです。
次に、その他に2021年6月のMicrosoft社による更新プログラムで修正された脆弱性について解説します。更新プログラムで対処している脆弱性の一覧はこちらから確認してください。
まず、先に紹介したもの以外で「緊急」に指定された脆弱性に注目してみます。この中ではDefenderのアップデートが目立ちますが、特に対処する必要はありません。Microsoft社は、マルウェア保護エンジン(Malware Protection Engine)を定期的に更新していますので、インターネットに接続されているシステムであればすでに更新が行われているはずです。念のためバージョンを確認し、もし必要であれば手動で更新プログラムを適用してください。同様に、VP9コーデックのアップデートについてもMicrosoft社を通じて自動的に更新されているはずです。こちらの場合も、もしインターネットに接続されていない環境であれば手動でパッチを適用する必要があります。「緊急」に分類された上記以外の脆弱性は、スクリプトエンジンにおけるメモリ破損の脆弱性と、SharePointのリモートコード実行の脆弱性です。SharePointの脆弱性は、ユーザの操作を必要としませんが、ある程度の権限が必要とされます。攻撃の複雑性は高いとはいえ、攻撃対象について考慮すると攻撃者はこの脆弱性を実際の攻撃に利用するためにあらゆる手段を講じると思われます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-33742 | Windows MSHTML Platform のリモートコード実行の脆弱性 | 緊急 | 7.5 | はい | はい | RCE |
CVE-2021-31985 | Microsoft Defender のリモートコード実行の脆弱性 | 緊急 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31963 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 緊急 | 7.1 | いいえ | いいえ | RCE |
CVE-2021-31959 | Scripting Engine のメモリ破損の脆弱性 | 緊急 | 6.4 | いいえ | いいえ | RCE |
CVE-2021-31967 | VP9 Video Extensions のリモートコード実行の脆弱性 | 緊急 | 7.8 | いいえ | いいえ | RCE |
表:「緊急」レベルに指定された脆弱性(2021年6月の更新プログラム)
次に「重要」レベルのアップデートに注目します。はじめに、「緊急」レベルだけでなく「重要」レベルにもSharePointのコード実行の脆弱性がいくつか含まれています。そのうちの1つはZDI programによって発見されたもので、近日中に詳細が公開される予定です。6月2日に同様の脆弱性について、ZDIブログで紹介されていますので、チェックしてみてください。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31965 | Microsoft SharePoint Server の情報漏えいの脆弱性 | 重要 | 5.7 | いいえ | いいえ | Info |
CVE-2021-26420 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 | 7.1 | いいえ | いいえ | RCE |
CVE-2021-31966 | Microsoft SharePoint Server のリモートコード実行の脆弱性 | 重要 | 7.2 | いいえ | いいえ | RCE |
CVE-2021-31948 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
CVE-2021-31950 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
CVE-2021-31964 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
表:「重要」レベルに指定された脆弱性(2021年6月の更新プログラム)
Officeコンポーネントに影響を与える脆弱性がいくつかありますが、最も注目すべきはOutlookのアップデートです。幸いなことに、プレビューウインドウ(ペイン)には影響がありません。攻撃者は、特別に細工されたファイルを該当するバージョンのOutlookで開くようにユーザを誘導する必要があります。デバイス管理にMicrosoft Intuneを使用している方は、できるだけ早くパッチを適用するようにしてください。攻撃のシナリオについては明らかにされていませんが、認証やユーザの操作を必要としないことは記載されています。Intuneを使用している場合は、このパッチを緊急として扱い、速やかに適用することをお勧めします。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31939 | Microsoft Excel のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31980 | Microsoft Intune Management Extension のリモートコード実行の脆弱性 | 重要 | 8.1 | いいえ | いいえ | RCE |
CVE-2021-31940 | Microsoft Office Graphics のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31941 | Microsoft Office Graphics のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31949 | Microsoft Outlook のリモートコード実行の脆弱性 | 重要 | 6.7 | いいえ | いいえ | RCE |
表: Office製品に関連する脆弱性(2021年6月の更新プログラム)
「重要」レベルのコード実行に関する脆弱性は、3DビューアとPaint 3Dに対処するいくつかのパッチで締めくくられています。Paintの脆弱性の一つは、ZDIのリサーチャーMat Powellによって報告されたもので、STLファイルの解析に存在します。この問題は、ユーザの入力データの検証が適切に行われず、割り当てられたデータ構造体の境界を超えた書き込みが実行されてしまうことがあります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31944 | 3D Viewer の情報漏えいの脆弱性 | 重要 | 5 | いいえ | いいえ | Info |
CVE-2021-31942 | 3D Viewer のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31943 | 3D Viewer のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31945 | Paint 3D のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31946 | Paint 3D のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
CVE-2021-31983 | Paint 3D のリモートコード実行の脆弱性 | 重要 | 7.8 | いいえ | いいえ | RCE |
表: 3D ViewerとPaint3Dに関連する脆弱性(2021年6月の更新プログラム)
今月は上述のもの以外にも、以下の特権昇格(EoP)の脆弱性に対処するパッチが提供されています。また、Desktop Windows Manager(DWM)コアライブラリの特権昇格の脆弱性は、すでに一般に公開されており、悪用の事実を確認済みと記載されています。この脆弱性に対する攻撃がどの程度広まっているかは不明ですが、現時点では対象は絞られていると思われます。Chromium版Edgeのアップデートは、実際には6月4日(金)に公開されました。この脆弱性がコード実行ではなく特権昇格とされる理由は明らかではありませんが、いずれにしても、ユーザの操作が必要となります。今月対応された他の特権昇格の脆弱性は、攻撃者が権限を昇格させるために、対象システム上でコードを実行する必要があります。これらの脆弱性は、WindowsカーネルやMicrosoft社のKubernetesツールなど、複数のWindowsコンポーネントに影響を与えます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-33739 | Microsoft DWM Core Library の特権昇格の脆弱性 | 重要 | 8.4 | はい | はい | EoP |
CVE-2021-33741 | Microsoft Edge (Chromium版) の特権昇格の脆弱性 | 重要 | 8.2 | いいえ | いいえ | EoP |
CVE-2021-31938 | Microsoft VsCode Kubernetes Tools Extension の特権昇格の脆弱性 | 重要 | 7.3 | いいえ | いいえ | EoP |
CVE-2021-31969 | Windows Cloud Files Mini Filter Driver の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31954 | Windows Common Log File System Driver の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31953 | Windows Filter Manager の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31973 | Windows GPSVC の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31951 | Windows Kernel の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31952 | Windows Kernel-Mode Driver の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
CVE-2021-31958 | Windows NTLM の特権昇格の脆弱性 | 重要 | 7.5 | いいえ | いいえ | EoP |
CVE-2021-1675 | Windows Print Spooler の特権昇格の脆弱性 | 重要 | 7.8 | いいえ | いいえ | EoP |
表:特権昇格(EoP)の脆弱性(2021年6月の更新プログラム)
今月は他に、情報漏えいの脆弱性を修正するパッチが7件ありますが、Windowsカーネルの脆弱性について攻撃が活発化していると報告されています。ほとんどの場合、これらの脆弱性はすべて、不特定のメモリ内容の情報漏えいにつながるだけです。ただし、SharePointの情報漏えいについては、個人識別情報(PII)の漏えいにつながる可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31955 | Windows Kernel の情報漏えいの脆弱性 | 重要 | 5.5 | いいえ | はい | Info |
CVE-2021-31944 | 3D Viewer の情報漏えいの脆弱性 | 重要 | 5 | いいえ | いいえ | Info |
CVE-2021-31972 | Event Tracing for Windows の情報漏えいの脆弱性 | 重要 | 5.5 | いいえ | いいえ | Info |
CVE-2021-31965 | Microsoft SharePoint Server の情報漏えいの脆弱性 | 重要 | 5.7 | いいえ | いいえ | Info |
CVE-2021-31975 | Server for NFS の情報漏えいの脆弱性 | 重要 | 7.5 | いいえ | いいえ | Info |
CVE-2021-31976 | Server for NFS の情報漏えいの脆弱性 | 重要 | 7.5 | いいえ | いいえ | Info |
CVE-2021-31960 | Windows Bind Filter Driver の情報漏えいの脆弱性 | 重要 | 5.5 | いいえ | いいえ | Info |
表:情報漏えいの脆弱性(2021年6月の更新プログラム)
今回のリリースには、サービス妨害(DoS)の脆弱性を修正するパッチが5つ含まれています。最も影響を受けるのは、Hyper-VとWindows Defenderです。この場合も、Defenderのユーザはすでにアップデートを受け取っているはずです。なお、Defenderを無効にしている場合でも、影響を受けるファイルが存在する場合に、脆弱性スキャナによって検出される場合がありますが、Microsoft社によればDefenderを無効にしたシステムは 脆弱な状態 には該当しない、としています。また、Windowsリモートデスクトッププロトコルで修正されたサービス拒否(DoS)の脆弱性は、一般に公開されていると記載されていますが、どのような公開情報があるのかは明らかではありません。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31968 | Windows Remote Desktop Services のサービス拒否の脆弱性 | 重要 | 7.5 | はい | いいえ | DoS |
CVE-2021-31957 | .NET Core and Visual Studio のサービス拒否の脆弱性 | 重要 | 5.9 | いいえ | いいえ | DoS |
CVE-2021-31978 | Microsoft Defender のサービス拒否の脆弱性 | 重要 | 5.5 | いいえ | いいえ | DoS |
CVE-2021-31974 | Server for NFS のサービス拒否の脆弱性 | 重要 | 7.5 | いいえ | いいえ | DoS |
CVE-2021-31977 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | 8.6 | いいえ | いいえ | DoS |
表: サービス妨害(DoS)の脆弱性(2021年6月の更新プログラム)
今月のリリースでは、上述したKerberosのセキュリティ機能バイパスを含め、4つのセキュリティ機能のバイパスの脆弱性が修正されています。Windows DCOMのアップデートは特に注意が必要です。パッチによって脆弱性が自動的に修正されるのではなく、代わりに、企業にはこの脆弱性に対する強化(ハードニング)を有効にする機能が提供されます。Microsoft社は、2021年第4四半期にも更新プログラムのリリースを予定しており、その際にはデフォルトで保護機能を有効にする一方で、レジストリを介してハードニングを無効にすることが可能になります。2021年後半、もしくは2022年前半には、保護を無効にする機能は削除される予定です。これらの修正により、アプリケーションの互換性に問題が発生することが予想されますので、アップデートの際には十分にテストしてください。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31962 | Kerberos AppContainer のセキュリティ機能バイパスの脆弱性 | 重要 | 9.4 | いいえ | いいえ | SFB |
CVE-2021-26414 | Windows DCOM Server のセキュリティ機能バイパス脆弱性 | 重要 | 4.8 | いいえ | いいえ | SFB |
CVE-2021-31971 | Windows HTML Platform のセキュリティ機能バイパスの脆弱性 | 重要 | 6.8 | いいえ | いいえ | SFB |
CVE-2021-31970 | Windows TCP/IP Driver のセキュリティ機能バイパスの脆弱性 | 重要 | 5.5 | いいえ | いいえ | SFB |
表: セキュリティ機能バイパス(SFB)の脆弱性(2021年6月の更新プログラム)
今月のリリースは、SharePoint Serverのなりすまし(Spoofing)の脆弱性に対処する3つのパッチで締めくくられています。通例通りServicing Stackに関するアドバイザリ(ADV990001)は、Windows 10およびServer 2019のすべてのバージョン用に改訂されました。その他、今月は新しいアドバイザリはリリースされませんでした。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般公開 | 悪用確認 | 種類 |
CVE-2021-31948 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
CVE-2021-31950 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
CVE-2021-31964 | Microsoft SharePoint Server のなりすましの脆弱性 | 重要 | 7.6 | いいえ | いいえ | Spoofing |
表: なりすまし(Spoofing)の脆弱性(2021年6月の更新プログラム)
参考記事:
- 「THE JUNE 2021 SECURITY UPDATE REVIEW」
By Dustin Childs
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)