Easy management - our secret sauce. Watch the video tour.
HOME > セキュリティ情報 > 11件中6つが緊急レベルWindowsの脆弱性 2009年10月13日

11件中6つが緊急レベルWindowsの脆弱性 2009年10月13日

11件中6つが緊急レベルWindowsの脆弱性
SMB2/Windows Media Player/IIS FTPなど対象

危険度: 高

2009年10月13日

【概要】
  • 対象:
    最新版の Windows とそれに搭載されているコンポーネント及び.NET Framework と Silverlight
  • 攻撃方法:
    細工したパケットをユーザに送信したり、悪質なメディアをユーザが閲覧するように誘導するなど攻撃方法はいくつもある
  • 影響:
    結果は様々だが最悪の場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる
  • 対策:
    状況に適したマイクロソフトのパッチを至急インストールするか、Windowsの自動アップデート機能を使って自動的にパッチをダウンロードすること

【詳細】
米国時間の10月13日、マイクロソフトは Windows とそれに搭載されているコンポーネントに影響する27の脆弱性についてセキュリティ情報11件をリリースした。各脆弱性がもたらす影響は Windows のバージョンにより異なる。欠陥の中には Silverlight や SQL サーバ、Office、マイクロソフトの開発ツールといったマイクロソフト製品に影響を及ぼすものもある。リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザの Windows PC を完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。

MS09-050
SMBv2 コード実行の脆弱性

SMB2サービスはマイクロソフトのサーバメッセージブロック(SMB)プロトコル・サービスの新しいバージョンで、Windowsがシェアファイルやプリンタその他リソースに使い、Windows Vista と Windows 7、Server 2008 にのみ搭載されている。しかし先月、ある研究家がSMBv2 サービスでゼロデイ脆弱性を発見し、他の研究家達もそれを立証、攻撃者がWindowsで欠陥を悪用しコードを実行できることを確認した。攻撃者は細工したSMBv2 を送信することでこの脆弱性を悪用し、Windowsユーザのコンピュータを完全に操作できるようになる。しかし、大方の管理者はSMB トラフィックをファイアウォールで許可していないため、この欠陥は主に内部脅威に繋がるものとなる。マイクロソフトのセキュリティアドバイザリは、ついにこのSMBv2欠陥とそれに似た2つの問題も修正している。このゼロデイSMBv2欠陥の詳細については、ウォッチガードのWireで説明しているのでそちらを参照することをすすめる。(1 /2) 

SMBv2は Windows 7 に搭載されているが、この脆弱性はWindows 7のRC(製品候補版:Release Candidate)にのみ影響しており、市販用に構築されたRTM(製造工程向けリリース)版への影響はない。Windows 7 のRTM版のユーザは、このようなSMBv2欠陥に対し脆弱ではない。

マイクロソフトによる評価:緊急

MS09-051
Windows Media Runtime コード実行の脆弱性(2)

Windows Media Runtime は、Windows やその他のアプリケーションがメディアコンテンツを再生したり閲覧するために必要な情報やツールを提供するコンポーネントだ。しかし、このコンポーネントは2つの脆弱性の影響を受けている。1つは、圧縮された特定のオーディオファイルの処理法に関与するメモリ破壊の脆弱性で、もう1つは Windows の Media Speechコーデックを使用するASFメディアファイルの処理法に関与するコード実行の脆弱性だ。どちらの脆弱性も、その行動範囲と影響は同じである。攻撃者は細工したメディアファイルをユーザが閲覧したり再生したりするように仕向けると、脆弱性のいずれかを利用してユーザの特権を獲得しそのユーザのコンピュータでコードを実行する。ユーザにローカル管理者の特権がある場合、攻撃者はそのコンピュータを完全に操作することができる。

マイクロソフトによる評価:緊急

MS09-052
Windows Media Playerのバッファ・オーバーフローの脆弱性

Windows Media Player は、Windows に搭載されているデジタル・メディアプレイヤー・プログラムで、様々なオーディオファイルやビデオファイルを再生することができる。しかし、これはASFファイルを処理する方法に関与するバッファ・オーバーフロー問題の影響を受けている。攻撃者は細工されたASF ファイルをユーザが再生するように誘導すると、その脆弱性のいずれかを利用しユーザの権限を備えた状態で、そのユーザのコンピュータでコードを実行することができる。大概の Windows 欠陥のそれと同じように、ユーザにローカル管理者の特権があった場合、攻撃者はそのコンピュータを完全に操作することができる。

マイクロソフトによる評価:緊急

MS09-062
複数のGDI+コード実行の脆弱性

Windowsの Graphic Device Interface (GDI+) は、ユーザのモニタやプリンタといった出力デバイスに、グラフィックオブジェクトをレンダーするために使うコアオペレーティングシステム・コンポーネントだ。GDI+ には8つのバッファ・オーバーフローやメモリ破壊の脆弱性があり、攻撃者はそれらを悪用して悪質なコードを実行することができる。欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者が悪質なイメージをユーザが閲覧するように仕向けたり、悪質なドキュメントを開かせたり細工したウェブページにユーザが行くように誘導すると、攻撃者は脆弱性を悪用してユーザの権限を獲得し、そのユーザのコンピュータでコードを実行することができる。マイクロソフトのセキュリティアドバイザリでは、攻撃者がすぐにユーザのシステムを完全に操作できるようになるのか、それとも被害者のレベルのコントロール権のみを獲得するようになるのかは明確ではない。セキュリティアドバイザリでは「完全操作」と説明している箇所もあるが、その他の場所では攻撃者の特権レベルは被害者となったユーザによる、とも説明されている。Windowsユーザには、大方ローカル管理者の特権が備わっているため、脆弱性を利用した攻撃がユーザのWindows コンピュータを完全に操作できるようにしてしまうのが大半であろうと我々は見ている(この他、下記リスト・アイテムも影響を受けている)。
  • .NET Framework
  • Internet Explorer
  • Microsoft Office とその他の Office ソフトウェア
  • SQL サーバ
  • Developer Tools
  • とForefront Client Security
影響を受けているマイクロソフト製品には必ずパッチを取り入れること。

マイクロソフトによる評価:緊急

MS09-055
ActiveX Killbit 累積アップデート

マイクロソフトのアクティブ・テンプレート・ライブラリ(ATL)は、開発者達が ActiveX コントロールを作成する際に役立つプログラム・テンプレートを集めたものである。 Windows には、ATLライブラリで作成した ActiveXコントロールが入った様々なコンポーネントがいくつもある。ところが、マイクロソフトはATLライブラリで作成したActiveXコントロールに、また別の脆弱性を発見した。攻撃者が悪質なウェブページにユーザを誘導すると、攻撃者はこの脆弱性を悪用してユーザの権限を獲得、そのユーザのコンピュータでコードを実行することができる。Windows 欠陥においてよく見られるように、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。 このセキュリティアドバイザリは、脆弱なActiveXコントロールと、過去の脆弱な ActiveXコントロールにkillbitをセットする。新しいActiveX の脆弱性は、過去にLiveSecurityアラートで報告したマイクロソフトの臨時アドバイザリで説明したものによく似ている。ATL脆弱性の中には、 Windows コンポーネントにのみ影響するものもあるが、脆弱なマイクロソフトのATLで作成された第三者のActiveXコントロールに影響を及ぼすものもある。

マイクロソフトによる評価:緊急

MS09-061
NET Frameworkのコード実行の欠陥(3)

.NET Framework は、開発者達が新しいWindowsアプリケーションを作成するために使用するソフトウェア・フレームワークだ。しかし、この .NET Framework は攻撃者が不適切な特権をユーザのWindowsシステムで入手できるようにしてしまう複雑なリモートコード実行の脆弱性3件の影響を受けている。欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。細工した.NETアプリケーションをユーザが実行するように仕向けることに成功すると、攻撃者は欠陥を任意に悪用し、ユーザの特権を備えた上で、そのユーザのコンピュータでコードを実行することができる。ユーザにローカル管理者の特権があった場合、攻撃者は欠陥を利用してユーザのPCを完全に操作できるようになる。.NETアプリケーションはローカル及びウェブでも実行することができるので、悪質なウェブサイトを訪れるだけでもこの脆弱性を誘発させてしまうことになる。

マイクロソフトによる評価:緊急

MS09-053
IIS FTP サービスのリモートコード実行とDoSの脆弱性

マイクロソフトのインターネット・インフォメーション・サービス(IIS)は、現在インターネットで一番人気のウェブサーバの1つである。IISはFTPサービスも提供している。サーバ版のWindowsには全てIISが搭載されているが、デフォルト設定としてスタートしないサービスも中にはある。過去のLiveSecurityアラートで、ゼロデイIIS FTPサービスの脆弱性について説明したことがある。この脆弱性を悪用した攻撃者はユーザのIISサーバをクラッシュさせたり、それを完全に操作することが可能になる。攻撃者はFTPサーバに接続し、細工したコマンドを送信するだけでこの欠陥を利用することができる。今回報告されたIIS FTPアドバイザリは、これまでパッチされていなかったその欠陥を修正している。

マイクロソフトによる評価:重要

MS09-058
Windowsのカーネル権限昇格の脆弱性(3)

Windows カーネルは3つの権限昇格(EoP)問題の影響を受けている。欠陥はそれぞれ技術的に異なるが、その行動範囲と影響は同様である。細工したプログラムをユーザのWindowsで実行することで、それまでのユーザ特権にかかわらず、攻撃者はそのシステムを完全に操作できるようになる。しかし攻撃者が悪質なプログラムを実行するには被害者のコンピュータでローカル・アクセス権が必要となるため、この脆弱性は主に内部攻撃対象となる。

マイクロソフトによる評価:重要

MS09-057
インデックスサービスのメモリ破損の問題

Windowsのインデックスサービスは検索プロセスを速めるために、ファイルやディレクトリ内のコンテンツを列挙する。インデックスサービスに搭載されているActiveXコントロールは、細工されたウェブ・コンテンツの処理法に関与する未特定のメモリ破損問題の影響を受けている。攻撃者は有害なコードを入れたウェブページにユーザを誘導し、脆弱性を悪用してユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行することができる。Windows 欠陥においてよく見られるように、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

マイクロソフトによる評価:重要

MS09-059
LSASS サービス拒否 (DoS) の脆弱性

Local Security Authority Subsystem Service (LSASS) は、認証を処理しセキュリティ・ポリシーを強制するWindowsコンポーネントだ。そのLSASSは、整数のアンダーフロー問題の影響を受けておりサービス拒否(DoS)脆弱性の誘因である。 攻撃者は認証のプロセス中に細工したパケットを送信し、欠陥を悪用してユーザのWindowsコンピュータを再起動させることができる。ただし、大方の管理者はローカルネットワークの先まで認証トラフィックを許可することはないので、この欠陥は主に内部脅威となる。

マイクロソフトによる評価:重要

MS09-056
CryptoAPI 偽造の脆弱性

CryptoAPIは、暗号や認証、デジタル証明の処理など基本的な暗号法サービスをWindowsに提供するコンポーネントだ。ところが、そのCryptoAPI は攻撃者が別のユーザやシステムを偽ったデジタル証明書を作成できるようにしてしまう2つの脆弱性の影響を受けている。例えば、攻撃者はこの欠陥を利用してwww.paypal.comの証明書に見せかけたものを作成できる。しかし実際のところその証明書はPayPalではなく、攻撃者のものである。攻撃者は、細工したウェブサイトにユーザを誘導したり、他のDNS脆弱性を利用して攻撃者のウェブサイトにユーザを仕向け、証明書偽造の脆弱性を利用して悪質なサイトが信頼できる事業体のものであることをユーザに納得させる。

マイクロソフトによる評価:重要

【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することを勧める。

日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること:
MS09-050 MS09-051
MS09-052  注意:この脆弱性によるこれ以外のWindowsバージョンへの影響はない。

MS09-062  * 詳細の欄でも説明したように、こういったGDI+の脆弱性はOffice やSQLサーバなど、この他様々なマイクロソフト製品に影響する可能性がある。このため、マイクロソフトのGDI+アドバイザリを参照し、必要なパッチをダウンロードすることをすすめる。

MS09-055
MS09-061 
マイクロソフトのアドバイザリを参照し、.NET framework に関与する必要なパッチをダウンロードすることをすすめる。.NET Framework には様々なバージョンがあり、WindowsとFramework Service Packの種類からして、どのパッチを適用すべきか分かりにくいかもしれない。このため組織のポリシーに合うならば、Windowsの自動アップデート機能を使用して必要なパッチをダウンロードすることを強くすすめる。

MS09-053 
MS09-058
MS09-057
MS09-059
MS09-056
【ウォッチガード・ユーザ】
WatchGuard のFireboxは、もとからこういった攻撃に関連するネットワーク・トラフィックをブロックするようになっている。しかし、攻撃者はローカルで攻撃を利用したり通常のHTTPに見せ掛けたトラフィックを送信したりするため、前述のパッチをインストールすることが主な対策となる。

【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。

【参考資料】
マイクロソフトのセキュリティアドバイザリ一覧

この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。