マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も | ScanNetSecurity
2022.01.27(木)

マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も

独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2020年12月度のセキュリティ更新プログラムを公開したことを受けたもの。

対象となるソフトウェアは次の通り。

・Microsoft Windows
・Microsoft Edge(EdgeHTML ベース)
・ChakraCore
・Microsoft Office、Microsoft Office Services および Web Apps
・Microsoft Windows Codecs Library
・Microsoft Exchange Server
・Azure DevOps
・Microsoft Dynamics
・Visual Studio
・Azure SDK
・Azure Sphere

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたり、様々な被害が発生する可能性がある。IPAでは、攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用するよう呼びかけている。

またJPCERT/CCでは12月17日に、マイクロソフト株式会社が2020年11月10日(米国時間)に公開したKerberos Key Distribution Center(KDC)のセキュリティ機能のバイパスの脆弱性(CVE-2020-17049)について、12月8日に本脆弱性を実証するコード(PoC)の公開を確認していると発表。

本脆弱性は、Kerberos Constrained Delegation(KCD)を使用するように構成された侵害対象のサービスに対し、委任に無効なサービスチケットを改ざんし、KDCに強制的に受け入れさせる可能性がある。

マイクロソフトでは本脆弱性に対する修正プログラムの提供を、12月9日以降にリリースされたWindows更新プログラムの初期展開フェーズと、2021年2月10日以降にリリースされるWindows更新プログラムの強制フェーズの2段階にわけて実施予定。JPCERT/CCは、詳細についてはマイクロソフトが提供する情報を確認するよう呼びかけている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×