マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も
独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している
脆弱性と脅威
セキュリティホール・脆弱性
対象となるソフトウェアは次の通り。
・Microsoft Windows
・Microsoft Edge(EdgeHTML ベース)
・ChakraCore
・Microsoft Office、Microsoft Office Services および Web Apps
・Microsoft Windows Codecs Library
・Microsoft Exchange Server
・Azure DevOps
・Microsoft Dynamics
・Visual Studio
・Azure SDK
・Azure Sphere
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたり、様々な被害が発生する可能性がある。IPAでは、攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用するよう呼びかけている。
またJPCERT/CCでは12月17日に、マイクロソフト株式会社が2020年11月10日(米国時間)に公開したKerberos Key Distribution Center(KDC)のセキュリティ機能のバイパスの脆弱性(CVE-2020-17049)について、12月8日に本脆弱性を実証するコード(PoC)の公開を確認していると発表。
本脆弱性は、Kerberos Constrained Delegation(KCD)を使用するように構成された侵害対象のサービスに対し、委任に無効なサービスチケットを改ざんし、KDCに強制的に受け入れさせる可能性がある。
マイクロソフトでは本脆弱性に対する修正プログラムの提供を、12月9日以降にリリースされたWindows更新プログラムの初期展開フェーズと、2021年2月10日以降にリリースされるWindows更新プログラムの強制フェーズの2段階にわけて実施予定。JPCERT/CCは、詳細についてはマイクロソフトが提供する情報を確認するよう呼びかけている。
《ScanNetSecurity》
関連記事
![カナダ版「 セキュリティ10大脅威」 / ワーム化可能 iOS 脆弱性 / 認証情報42億件 配布中 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/32880.jpg)
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
警察庁、サイバー事案通報の統一窓口を設置
-
委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に
-
マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件