マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も
独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している
脆弱性と脅威
セキュリティホール・脆弱性
対象となるソフトウェアは次の通り。
・Microsoft Windows
・Microsoft Edge(EdgeHTML ベース)
・ChakraCore
・Microsoft Office、Microsoft Office Services および Web Apps
・Microsoft Windows Codecs Library
・Microsoft Exchange Server
・Azure DevOps
・Microsoft Dynamics
・Visual Studio
・Azure SDK
・Azure Sphere
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたり、様々な被害が発生する可能性がある。IPAでは、攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用するよう呼びかけている。
またJPCERT/CCでは12月17日に、マイクロソフト株式会社が2020年11月10日(米国時間)に公開したKerberos Key Distribution Center(KDC)のセキュリティ機能のバイパスの脆弱性(CVE-2020-17049)について、12月8日に本脆弱性を実証するコード(PoC)の公開を確認していると発表。
本脆弱性は、Kerberos Constrained Delegation(KCD)を使用するように構成された侵害対象のサービスに対し、委任に無効なサービスチケットを改ざんし、KDCに強制的に受け入れさせる可能性がある。
マイクロソフトでは本脆弱性に対する修正プログラムの提供を、12月9日以降にリリースされたWindows更新プログラムの初期展開フェーズと、2021年2月10日以降にリリースされるWindows更新プログラムの強制フェーズの2段階にわけて実施予定。JPCERT/CCは、詳細についてはマイクロソフトが提供する情報を確認するよう呼びかけている。
《ScanNetSecurity》
![カナダ版「 セキュリティ10大脅威」 / ワーム化可能 iOS 脆弱性 / 認証情報42億件 配布中 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/32880.jpg)
