脆弱性 (CVE) の修復を優先するための 2021 月の月例パッチと Ivanti の推奨事項の分析。 XNUMX 年 XNUMX 月の月例パッチにはすべてが含まれています。
最近の PrintNightmare アウトオブバンド アップデート、今後の四半期ごとの Oracle CPU、Acrobat と Reader、Mozilla Firefox と Firefox ESR を含む Adobe のアップデート スイート、および Microsoft の典型的な毎月のアップデート スイートにより、XNUMX 月の Patch Tuesday には多くのセキュリティが含まれます。優先的に対処する必要がある脆弱性。
脆弱性 PrintNightmare
それは PrintNightmare CVE-2021-34527 から始まります。これは、XNUMX 月の月例パッチの更新後に印刷スプーラーの別の脆弱性として特定されました。 Microsoft は、ほとんどのオペレーティング システム向けに帯域外のセキュリティ更新プログラムを迅速にリリースしています。. 更新プログラムは、ユーザーが拡張セキュリティ更新プログラム (ESU) サブスクリプションを持っている限り、Windows 7 および Server 2008/2008 R2 で利用できます。 同社はまた、更新がどのように機能するかを説明し、いくつかの追加の構成オプションを提供するサポート記事を提供しました. 帯域外更新プログラムをまだインストールしていない組織は、XNUMX 月の OS 更新プログラムを更新するだけで、この CVE と共に XNUMX つの新しいゼロデイ脆弱性を修正できます。
マイクロソフト – 100 以上の CVE
Microsoft はまた、117 月に 10 の個別の CVE を修正し、そのうち 365 が重大と評価されました。 その中には、XNUMX つのゼロデイ脆弱性と XNUMX つの公開情報があります。 少し良いニュースがあります。XNUMX つのゼロデイすべてと、公開されている XNUMX つの脆弱性のうち XNUMX つが、XNUMX 月の OS アップデートのリリースで修正されます。 今月の更新プログラムは、Windows オペレーティング システム、Office XNUMX、Sharepoint、Visual Studio、および多数のモジュールとコンポーネントに影響します (詳細については、リリース ノートを参照してください)。
リスクベースの優先順位付け
ベンダーによって修正された脆弱性を見る場合、評価では重大度と CVSS スコア以上のものを考慮する必要があります。 IT セキュリティ チームがリスクを判断するための追加のメトリックを持っていない場合、最も重要な更新プログラムの一部を見逃している可能性が高くなります。 重大度を定義するために使用されるベンダー アルゴリズムがどのように誤ったセキュリティ感覚を与えるかの良い例は、今月のゼロデイ リストで見つけることができます。 CVE のうち 3 つは、更新プログラムのリリース前に積極的に悪用されていましたが、Microsoft によってのみ重要と評価されています。 重大な CVE の CVSSv80 スコアは、2019 つの重要な CVE よりもさらに低くなっています。 Gartner などのアナリストによると、脆弱性管理にリスクベースのアプローチを採用すると、データ侵害の数を年間最大 XNUMX% 削減できます (Gartner Forecast Analysis: Risk-Based Vulnerability Management XNUMX)。
ゼロデイ脆弱性
CVE-2021-31979 Windows カーネルの権限昇格の脆弱性です。 この脆弱性は、「野生」の攻撃中に発見されました。 この CVE に対する Microsoft の重大度は重要と評価されており、CVSSv3 スコアは 7,8 です。 この脆弱性は、Windows 7、Server 2008、およびそれ以降の Windows オペレーティング システムのバージョンに影響を与えます。
CVE-2021-33771 で これは、Windows カーネルにおける特権の昇格の脆弱性です。 この脆弱性は実際の攻撃でも発見されました。 この CVE に対する Microsoft の重大度は重要と評価されており、CVSSv3 スコアは 7,8 です。 この脆弱性は、Windows 8.1、Server 2012 R2、およびそれ以降の Windows オペレーティング システムのバージョンに影響を与えます。
CVE-2021-34448 は Windows Scripting Engine のメモリ破損の脆弱性であり、影響を受けるシステムで攻撃者がリモートでコードを実行できる可能性があります。
ゼロデイ攻撃のシナリオ
Web ベースの攻撃のシナリオでは、攻撃者は、脆弱性の悪用を意図した特別に細工されたファイルを含む Web サイトをホストする可能性があります。 同じことが、ユーザー提供のコンテンツを受け入れる、またはホストする侵害された Web サイトにも当てはまります。 ただし、攻撃者がユーザーに Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は自発的にユーザーをだましてリンクをクリックさせる必要があります。 これは通常、電子メールまたはインスタント メッセンジャー メッセージを介して行われます。 目標は、ユーザーにファイルを開くよう説得することです。
この CVE に対する Microsoft の重大度は重大と評価されています CVSSv3 スコアは 6,8 です。 この脆弱性は、Windows 7、Server 2008、およびそれ以降の Windows オペレーティング システムのバージョンに影響を与えます。
公告
CVE-2021-33781 Active Directory サービスのセキュリティ機能をバイパスすることを目的としています。 この脆弱性は公開されています。 この CVE に対するマイクロソフトの重大度は重要と評価されており、CVSSv3 スコアは 8.1 です。 この脆弱性は、Windows 10、Server 2019、およびそれ以降の Windows オペレーティング システムのバージョンに影響を与えます。
CVE-2021-33779 は、Windows ADFS セキュリティのセキュリティ機能のバイパスです。 この脆弱性は公開されています。 この CVE に対するマイクロソフトの重大度は重要と評価されており、CVSSv3 スコアは 8.1 です。 この脆弱性は、サーバー バージョン 2016、2019、2004、20H2、および Core Windows Server に影響を与えます。
CVE-2021-34492 で Windows オペレーティング システムの証明書スプーフィングの脆弱性です。 この脆弱性も公開されています。 この CVE に対する Microsoft の重大度は重要と評価されています。 CVSSv3 スコアは 8.1 で、Windows 7、Server 2008、およびそれ以降の Windows オペレーティング システムのバージョンに影響します。
CVE-2021-34473 は、Microsoft Exchange Server のリモート コード実行の脆弱性であり、公開されています。 Microsoft はこの CVE を重大と分類しており、CVSSv3 スコアは 9,0 です。 この脆弱性は、Exchange Server 2013u23、2016u19、2016u20、2019u8、2019u9 に影響します。
CVE-2021-34523 は、Microsoft Exchange Server の権限昇格の脆弱性です。 この脆弱性は公開されており、重大度は重要と評価されています。 CVSSv3 スコアは 9.1 です。 これは、Exchange Server 2013u23、2016u19、2016u20、2019u8、2019u9 に影響します。
サードパーティの更新
オラクル は、20 月 3.1 日に四半期ごとのクリティカル パッチ アップデートまたは CPU をリリースします。 これには、Oracle Java SE、MySQL、Fusion Middleware、およびその他の多くの Oracle 製品の更新が含まれます。 CPU には、CVSSvXNUMX に関するすべてのセキュリティ修正と詳細が含まれます。 これには、攻撃の複雑さと、脆弱性をリモートで悪用できるかどうかという質問への回答が含まれます。 更新の緊急性を理解するために詳細が追加されます。
Adobe は、3 月のパッチ チューズデーの一環として、XNUMX つの製品のアップデートをリリースしました。 Adobe Bridge、Dimension、Illustrator、および Framemaker のアップデートは、アドビによって優先度 XNUMX と評価されています。 それぞれが少なくとも XNUMX つの重大な CVE を修正します。
Acrobat および Reader に関する多くの Adobe アップデート
ランク付けの際、アドビは、脆弱性の深刻度と、攻撃者が製品に集中する可能性の両方を考慮に入れます。 Adobe Priority 1 は、リリースに含まれる少なくとも 3 つの CVE がすでに積極的に悪用されていることを意味します。 優先度 XNUMX は、製品が攻撃される可能性が低く、悪用される脆弱性がほとんどないことを意味します。
21 つの製品アップデートは緊急ではありませんが、妥当な期間内に修正する必要があります。 今月さらに重要なのは、Adobe Acrobat および Reader の更新プログラム (APSB51-19) で、14 個の CVE が修正され、そのうち 2 個が緊急と評価されています。 アドビがこの更新に設定した関連性は優先度 3 です。重要な CVE のうち 8.8 つの CVSSvXNUMX は XNUMX と評価されました。 リモートでコードが実行される可能性があります。 CVE が悪用されたことはまだ知られていません。 ただし、Acrobat と Reader はシステムに広く導入されており、攻撃者自身が関心を持っています。
モジラ は、9 つの CVE の修正を含む Firefox および Firefox ESR の更新をリリースしました。 Foundation は、2021 つの CVE を「影響が大きい」と分類しています。 IT セキュリティ チームは、MFSA28-XNUMX で詳細を確認できます。
優先順位付けに関する Ivanti の推奨事項
今月の最優先事項は、Windows OS の更新です。 さらに XNUMX つのゼロデイ脆弱性が修正されました。 PrintNightmare の帯域外修正プログラムをまだインストールしていない企業の場合、それは XNUMX つのゼロデイ脆弱性と XNUMX つの公開された脆弱性になります。
Microsoft Exchange には、公に知られている 2021 つの脆弱性と、数か月前に Pwn31206Own 競争の一環として知られるようになった CVE-2-XNUMX があります。 そのため、Exchange は過去数か月にわたって多くの更新が行われた後、一息ついていますが、この脆弱性をできるだけ早く分析して修正する必要があります。
Adobe Acrobat と Reader、および Mozilla Firefox のサードパーティの更新には、高い優先度を与える必要があります。 PDF およびブラウザー アプリケーションは、フィッシング攻撃やその他のユーザー中心の方法でユーザーを悪用する攻撃者の簡単な標的になります。
詳細は Ivanti.com をご覧ください
イヴァンティについて ユニファイド IT の強み。 Ivanti は、IT を企業のセキュリティ運用と結び付けて、デジタル ワークプレイスをより適切に管理および保護します。 オンプレミスかクラウドかに関係なく、PC、モバイル デバイス、仮想化インフラストラクチャ、またはデータ センターの IT 資産を識別します。 Ivanti は、専門知識と自動化されたプロセスを通じて、IT サービスの提供を改善し、ビジネス リスクを軽減します。 Ivanti は、倉庫およびサプライ チェーン全体で最新のテクノロジを使用することにより、バックエンド システムを変更することなく、企業が配送能力を向上させるのに役立ちます。