トップ セキュリティ情報 2021年度 【注意喚起】2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起

【注意喚起】2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起

2021年8月11日 南大沢 日野 荒川

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2021/at210034.html
引用元: JPCERTコーディネーションセンター 注意喚起


2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起がありました。

I. 概要
マイクロソフトから同社製品の脆弱性を修正する2021年8月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。マイクロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。

 マイクロソフト株式会社
 2021 年 8 月のセキュリティ更新プログラム
  https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Aug

 マイクロソフト株式会社
 2021 年 8 月のセキュリティ更新プログラム (月例)
  https://msrc-blog.microsoft.com/2021/08/10/202108-security-updates/


II. 関連情報
今月のセキュリティ更新プログラムやアドバイザリの内、とりわけ注意が必要と思われる内容を参考までに掲載いたします。

(1) 悪用確認済みの脆弱性

これらの脆弱性の内、マイクロソフトは、Windows Update Medic Serviceの特権の昇格の脆弱性(CVE-2021-36948)について悪用の事実を確認していると公表しています。早期の対策検討を推奨します。

 CVE-2021-36948
 Windows Update Medic Service の特権の昇格の脆弱性
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36948


(2) 印刷スプーラーサービスの脆弱性(CVE-2021-34481)

Windowsの印刷スプーラーサービスのリモートコード実行の脆弱性(CVE-2021-34481)について、2021年7月15日にマイクロソフトが定例外でアドバイザリを公開しており、今月の定例リリースのセキュリティ更新プログラムで本脆弱性に対する修正が公開されました。

 CVE-2021-34481
 Windows 印刷スプーラーのリモートでコードが実行される脆弱性
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-34481

セキュリティ更新プログラムを適用後は、デフォルト設定としてプリンタードライバーのインストール時に管理者権限が必要となります。詳細は、マイクロソフトが提供する情報を参照してください。

 KB5005652 - 新しいポイントと印刷の既定のドライバーのインストール動作を管理する (CVE-2021-34481)
  https://support.microsoft.com/ja-jp/topic/kb5005652-新しいポイントと印刷の既定のドライバーのインストール動作を管理する-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872

 Point and Print Default Behavior Change
  https://msrc-blog.microsoft.com/2021/08/10/point-and-print-default-behavior-change/


(3) Windows 10の特権昇格の脆弱性(CVE-2021-36934)

Windows 10の複数バージョンにおける特権の昇格の脆弱性(CVE-2021-36934)について、2021年7月20日に定例外でマイクロソフトがアドバイザリを公開しました。脆弱性が悪用されると、非特権ユーザーがSecurity Accounts Manager(SAM)データベースを含む複数のシステムファイルを読み出し、結果として、SYSTEM権限に昇格する可能性があります。

 CVE-2021-36934
 Windows の特権の昇格の脆弱性
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36934

今月の定例リリースのセキュリティ更新プログラムで本脆弱性に対する修正が公開されましたが、脆弱性による影響を緩和するためには、更新プログラムを適用した後に、適用前あるいは緩和策の実施前に作成されたシャドウコピーを削除する必要があります。削除方法や影響などの詳細は、マイクロソフトが提供する情報を参照してください。本脆弱性を悪用する実証コードがすでに公開されていることから、速やかな対応実施の検討を推奨します。

 KB5005357 - ボリューム シャドウ コピーの削除
  https://support.microsoft.com/ja-jp/topic/kb5005357-ボリューム-シャドウ-コピーの削除-1ceaa637-aaa3-4b58-a48b-baf72a2fa9e7


(4) Windows LSAのなりすましの脆弱性(CVE-2021-36942)およびNTLMリレー攻撃への緩和策

Windows LSAのなりすましの脆弱性(CVE-2021-36942)は、2021年7月23日に定例外で公開されたNTLMリレー攻撃に対するアドバイザリ(ADV210003)に関連しています。脆弱性が悪用されると、第三者がNTLMを使用する別のサーバーに対する認証をドメインコントローラーに強制する可能性があります。本脆弱性はWindows Serverが影響を受け、とりわけドメインコントローラーにおける対策を優先して実施することが推奨されています。

 CVE-2021-36942
 Windows LSA のなりすましの脆弱性
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36942

 ADV210003
 Active Directory Certificate Services (AD CS) に対する NTLM リレー攻撃の緩和
  https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/ADV210003

また、ドメイン内でNTLM認証が有効で、Active Directory証明書サービス(AD CS)を「証明機関Web登録」あるいは「証明書の登録Webサービス」と併用している場合には、NTLMリレー攻撃の影響を受ける可能性があるとして、マイクロソフトから攻撃の影響を緩和する設定に関する情報が公開されています。こうした攻撃を実行するためのツールや実証コードがすでに公開されているため、速やかな緩和策実施の検討を推奨します。

 KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
  https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429


III. 対策
Microsoft Update、もしくはWindows Updateなどを用いて、セキュリティ更新プログラムを早急に適用してください。

 Microsoft Update カタログ
  https://www.catalog.update.microsoft.com/

 Windows Update:よくあるご質問
  https://support.microsoft.com/ja-JP/help/12373/windows-update-faq


IV. 参考情報
 マイクロソフト株式会社
 リリース ノート
  https://msrc.microsoft.com/update-guide/releaseNote