マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も | ScanNetSecurity
2021.01.25(月)

マイクロソフトが12月のセキュリティ情報を公開、Kerberos Key Distribution Centerのセキュリティ機能のバイパスの脆弱性の続報も

独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)は12月9日、「Microsoft 製品の脆弱性対策について(2020年12月)」を発表した。一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)も「2020年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起」を発表している。これは、マイクロソフトが2020年12月度のセキュリティ更新プログラムを公開したことを受けたもの。

対象となるソフトウェアは次の通り。

・Microsoft Windows
・Microsoft Edge(EdgeHTML ベース)
・ChakraCore
・Microsoft Office、Microsoft Office Services および Web Apps
・Microsoft Windows Codecs Library
・Microsoft Exchange Server
・Azure DevOps
・Microsoft Dynamics
・Visual Studio
・Azure SDK
・Azure Sphere

これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたり、様々な被害が発生する可能性がある。IPAでは、攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用するよう呼びかけている。

またJPCERT/CCでは12月17日に、マイクロソフト株式会社が2020年11月10日(米国時間)に公開したKerberos Key Distribution Center(KDC)のセキュリティ機能のバイパスの脆弱性(CVE-2020-17049)について、12月8日に本脆弱性を実証するコード(PoC)の公開を確認していると発表。

本脆弱性は、Kerberos Constrained Delegation(KCD)を使用するように構成された侵害対象のサービスに対し、委任に無効なサービスチケットを改ざんし、KDCに強制的に受け入れさせる可能性がある。

マイクロソフトでは本脆弱性に対する修正プログラムの提供を、12月9日以降にリリースされたWindows更新プログラムの初期展開フェーズと、2021年2月10日以降にリリースされるWindows更新プログラムの強制フェーズの2段階にわけて実施予定。JPCERT/CCは、詳細についてはマイクロソフトが提供する情報を確認するよう呼びかけている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×