-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0034
                                                             JPCERT/CC
                                                            2021-08-11

                  <<< JPCERT/CC Alert 2021-08-11 >>>

  2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210034.html


I. 概要
マイクロソフトから同社製品の脆弱性を修正する2021年8月のセキュリティ更
新プログラムが公開されました。これらの脆弱性を悪用された場合、リモート
からの攻撃によって任意のコードが実行されるなどの可能性があります。マイ
クロソフトが提供する情報を参照し、早急に更新プログラムを適用してくださ
い。

    マイクロソフト株式会社
    2021 年 8 月のセキュリティ更新プログラム
    https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Aug

    マイクロソフト株式会社
    2021 年 8 月のセキュリティ更新プログラム (月例)
    https://msrc-blog.microsoft.com/2021/08/10/202108-security-updates/


II. 関連情報
今月のセキュリティ更新プログラムやアドバイザリの内、とりわけ注意が必要
と思われる内容を参考までに掲載いたします。

(1) 悪用確認済みの脆弱性

これらの脆弱性の内、マイクロソフトは、Windows Update Medic Serviceの特
権の昇格の脆弱性（CVE-2021-36948）について悪用の事実を確認していると公
表しています。早期の対策検討を推奨します。

    CVE-2021-36948
    Windows Update Medic Service の特権の昇格の脆弱性
    https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36948


(2) 印刷スプーラーサービスの脆弱性（CVE-2021-34481）

Windowsの印刷スプーラーサービスのリモートコード実行の脆弱性
（CVE-2021-34481）について、2021年7月15日にマイクロソフトが定例外でア
ドバイザリを公開しており、今月の定例リリースのセキュリティ更新プログラ
ムで本脆弱性に対する修正が公開されました。

    CVE-2021-34481
    Windows 印刷スプーラーのリモートでコードが実行される脆弱性
    https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-34481

セキュリティ更新プログラムを適用後は、デフォルト設定としてプリンタード
ライバーのインストール時に管理者権限が必要となります。詳細は、マイクロ
ソフトが提供する情報を参照してください。

    KB5005652 - 新しいポイントと印刷の既定のドライバーのインストール動作を管理する (CVE-2021-34481)
    https://support.microsoft.com/ja-jp/topic/kb5005652-新しいポイントと印刷の既定のドライバーのインストール動作を管理する-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872

    Point and Print Default Behavior Change
    https://msrc-blog.microsoft.com/2021/08/10/point-and-print-default-behavior-change/


(3) Windows 10の特権昇格の脆弱性（CVE-2021-36934）

Windows 10の複数バージョンにおける特権の昇格の脆弱性（CVE-2021-36934）
について、2021年7月20日に定例外でマイクロソフトがアドバイザリを公開し
ました。脆弱性が悪用されると、非特権ユーザーがSecurity Accounts
Manager（SAM）データベースを含む複数のシステムファイルを読み出し、結果
として、SYSTEM権限に昇格する可能性があります。

    CVE-2021-36934
    Windows の特権の昇格の脆弱性
    https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36934

今月の定例リリースのセキュリティ更新プログラムで本脆弱性に対する修正が
公開されましたが、脆弱性による影響を緩和するためには、更新プログラムを
適用した後に、適用前あるいは緩和策の実施前に作成されたシャドウコピーを
削除する必要があります。削除方法や影響などの詳細は、マイクロソフトが提
供する情報を参照してください。本脆弱性を悪用する実証コードがすでに公開
されていることから、速やかな対応実施の検討を推奨します。

    KB5005357 - ボリューム シャドウ コピーの削除
    https://support.microsoft.com/ja-jp/topic/kb5005357-ボリューム-シャドウ-コピーの削除-1ceaa637-aaa3-4b58-a48b-baf72a2fa9e7


(4) Windows LSAのなりすましの脆弱性（CVE-2021-36942）およびNTLMリレー攻撃への緩和策

Windows LSAのなりすましの脆弱性（CVE-2021-36942）は、2021年7月23日に定
例外で公開されたNTLMリレー攻撃に対するアドバイザリ（ADV210003）に関連
しています。脆弱性が悪用されると、第三者がNTLMを使用する別のサーバーに
対する認証をドメインコントローラーに強制する可能性があります。本脆弱性
はWindows Serverが影響を受け、とりわけドメインコントローラーにおける対
策を優先して実施することが推奨されています。

    CVE-2021-36942
    Windows LSA のなりすましの脆弱性
    https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2021-36942

    ADV210003
    Active Directory Certificate Services (AD CS) に対する NTLM リレー攻撃の緩和
    https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/ADV210003

また、ドメイン内でNTLM認証が有効で、Active Directory証明書サービス
（AD CS）を「証明機関Web登録」あるいは「証明書の登録Webサービス」と併用
している場合には、NTLMリレー攻撃の影響を受ける可能性があるとして、マイ
クロソフトから攻撃の影響を緩和する設定に関する情報が公開されています。
こうした攻撃を実行するためのツールや実証コードがすでに公開されているた
め、速やかな緩和策実施の検討を推奨します。

    KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
    https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429


III. 対策
Microsoft Update、もしくはWindows Updateなどを用いて、セキュリティ更新
プログラムを早急に適用してください。

    Microsoft Update カタログ
    https://www.catalog.update.microsoft.com/

    Windows Update:よくあるご質問
    https://support.microsoft.com/ja-JP/help/12373/windows-update-faq


IV. 参考情報
    マイクロソフト株式会社
    リリース ノート
    https://msrc.microsoft.com/update-guide/releaseNote


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=RWTt
-----END PGP SIGNATURE-----