Microsoftは米国時間1月14日、月例セキュリティ更新プログラムをリリースした。1月の更新には、49件の脆弱性に対する修正が含まれており、そのうちの8件は深刻度が「緊急」に分類されている。
今回修正された脆弱性のうちで特筆すべきものは、「Windows」における暗号化APIである「CryptoAPI」(Crypt32.dll)の脆弱性(「CVE-2020-0601」)だ。この脆弱性は、米国家安全保障局(NSA)が発見し、Microsoftに報告した。攻撃者はこの脆弱性が悪用し、偽のコード署名証明書を使用したり、中間者攻撃を実行したりできる恐れがあるという。
今回の更新プログラムにはこの他にも、適用が必須と言える深刻な脆弱性が2件含まれている。これらはいずれも「Windows Server 2016」や「Windows Server 2012」に影響する。
これらのシステムで稼働している「Windows Remote Desktop Gateway」(RD Gateway)コンポーネントには、遠隔地からのコード実行を引き起こす可能性のある脆弱性が存在する。その結果、攻撃者は特殊な細工を施したリクエストを作成し、RDP接続を開始したうえで、そのリクエストを送信することで、脆弱性を抱えたWindowsサーバーを乗っ取れるようになる恐れがある。
これら2つの脆弱性(「CVE-2020-0609」および「CVE-2020-0610」)は、RDPの認証プロセスが開始される前に悪用できるうえ、サーバー管理者などによる操作も必要としない。
There’s two new pre-auth RCE with CVSS score 9.8 in RD Gateway, commonly used to protect RDP servers (adds MFA etc).
— Kevin Beaumont (@GossiTheDog) 2020年1月14日
RD Gateway is a (great, btw) Enterprise solution for protecting those RDP boxes. You probably want to patch these. https://t.co/V13hp2tiYQ https://t.co/SSfF1l6nBu
1月の月例パッチは、2019年における多くの月例パッチよりも規模が小さいものとなっているが、上述した3つの脆弱性を見れば分かるとおり、重要性が低いというわけではまったくない。
1月の月例パッチでは、Windowsのほか、「Internet Explorer」「ASP.NET」「.NET Framework」「Microsoft Dynamics」」OneDrive for Android」「Microsoft Office」「Microsoft Office Service」「Web Apps」などの修正が含まれている。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetも要点を1ページにまとめて掲載している。
- SANS ISC、Trend Microも月例パッチについてさらなる解説を公開している。
- Adobe関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
- SAP関連のセキュリティ更新プログラムは、公式ウェブサイトで詳しく説明されている。
- VMWare関連のセキュリティ修正も公開されている。
- Intel関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
- Oracleの第1四半期のクリティカルパッチアップデートも公開されている。
- 2020年1月の「Android Security Bulletin」も公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
