カテゴリー

セキュリティ Security

Microsoftパッチは、Exchange、Excelのゼロデイ攻撃を積極的に悪用しました(CVE-2021-42321、CVE-2021-42292)

  1. HOME >
  2. セキュリティ Security >

Microsoftパッチは、Exchange、Excelのゼロデイ攻撃を積極的に悪用しました(CVE-2021-42321、CVE-2021-42292)

これは、Microsoftからの2021年11月の軽いパッチ火曜日です:55の修正されたCVE、そのうち2つはアクティブなエクスプロイトの下でゼロデイです:CVE-2021-42321、Microsoft Exchange RCE、およびCVE-2021-42292、MicrosoftExcelセキュリティ機能バイパスバグ。

CVE-2021-42321 CVE-2021-42292

注意の脆弱性

Microsoft Exchange Server 2016および2019のリモートコード実行の脆弱性であるCVE-2021-42321は、コマンドレット(コマンドレット)引数の検証に関する問題が原因です。

「この欠陥を悪用するには、攻撃者を認証する必要があります。これにより、影響の一部が制限されます。マイクロソフトは、この脆弱性を実際に使用する「限定的な標的型攻撃」を認識していると述べています」と、TenableのスタッフリサーチエンジニアであるSatnamNarangは述べています。

Exchangeチームが公開したブログ投稿で、同社はMicrosoftExchange用に提供された更新プログラムをすぐにインストールすることを推奨しました。彼らは2つの可能な更新パスを示し、セキュリティチームがサーバーでエクスプロイトが試みられたかどうかを確認するために使用できるPowerShellクエリを共有しました。

Microsoft Excelのセキュリティ機能がゼロデイをバイパスするCVE-2021-42292の実際の悪用は、Microsoftのセキュリティ脅威インテリジェンスセンター(MSTIC)によって明らかに発見されました。

「このパッチは、影響を受けるバージョンのExcelで特別に細工されたファイルを開くときにコードの実行を許可する可能性があるバグを修正します。これは、プロンプトの背後にあるはずのコードをロードしていることが原因である可能性がありますが、何らかの理由でそのプロンプトが表示されないため、そのセキュリティ機能がバイパスされます」と、トレンドマイクロのゼロデイイニシアチブでダスティンチャイルズは述べています。

「それが悪意のあるマクロなのか、スプレッドシート内に読み込まれる他の形式のコードなのかは不明ですが、予期しない添付ファイルをしばらく開くのは気が進まないでしょう。現在Macユーザーが利用できるパッチがないため、これはOffice forMacのユーザーに特に当てはまります。」

選択する価値のあるその他の脆弱性は次のとおりです。

  • リモートデスクトップクライアントRCEの脆弱性であるCVE-2021-38666は、攻撃者がユーザーをだまして悪意のあるRCPサーバーに接続させることができる場合に悪用される可能性があります。
  • CVE-2021-42298、Microsoft Defender RCEホール。マルウェア定義の更新と、Microsoft Malware Protection Engineの更新を受信すると、インターネットに接続されたシステムに自動的に差し込まれます。
  • CVE-2021-26443ゲストからホストへのエスケープを許可する可能性のあるMicrosoftVirtual Machine Bus(VMBus)に影響を与えるRCE。「ゲストVMのユーザーは、VMBusチャネルで特別に細工された通信をホストOSに送信できます。これにより、基盤となるホストで任意のコードが実行される可能性があります」とチャイルズ氏は説明します。

-セキュリティ Security