ゼロデイ、マイクロソフトのアクセス悪用 2007年11月16日
注記:当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
セキュリティ・アラート
■ゼロデイ、マイクロソフトのアクセス悪用
危険度:中
日付:2007年11月16日
【概要】
米国時間の11月16日、ウィンドウズ・アクセス2003(それ以前のバージョンも対象である可能性あり)に影響を与えている深刻なゼロデイ脆弱性について、中国の研究家がアドバイザリーをリリースした。
細工したMDBファイルをユーザーに開かせることに成功すると、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行できるようになる。場合によって、攻撃者は被害者のマシーンのコントロール権を完全に獲得することもできる。マイクロソフト・オフィス2003でAccessを使用している場合は、マイクロソフトが修正プログラムをリリースするまで、このアラートの《対策》で説明している回避策を講じることをすすめる。
【問題の詳細】
中国のセキュリティ研究家である自称「Cocoruder」は、米国時間の11月16日にセキュリティ・アドバイザリー(中国語)をリリースした。このアドバイザリーは、MDBファイルを解析するためにアクセスが使用するマイクロソフト・ジェット・エンジンの、コンポーネント(msjet40.dll)に見られるバッファ・オーバーフロー問題について説明している。このバッファ・オーバーフロー問題に対応する修正プログラムは用意されていない。細工されたMDBファイルをユーザーに開かせることで攻撃者はこの欠陥を悪用し、ユーザーの権限を持った状態で、その被害者のコンピューターでコードを実行することができるようになる。被害者にローカル管理者の権限が付いていた場合、攻撃者はこの欠陥を利用して被害者のコンピューターを完全にコントロールできるようになる。
「Cocoruder」は、マイクロソフトがこの問題に対応する修正プログラムをリリースする以前に、アドバイザリーをリリースした。「Cocoruder」は、欠陥についてマイクロソフトに連絡をしたものの、マイクロソフトはこの問題を修正しないと述べた、とアドバイザリーで説明している。また、「Cocoruder」による脆弱性の情報開示について、マイクロソフトは「You appear to be reporting an issue with a file type Microsoft considers to be unsafe. Many programs, such as Internet Explorer and Outlook, automatically block these files. For more information, please visit http://support.microsoft.com/kb/925330.(マイクロソフトが安全ではないと見なすファイル・タイプの問題を報告しているようですが、インターネット・エクスプローラやアウトルックなど多くのプログラムは、そうしたファイルを自動的にブロックするようになっています。詳細については次のリンクを参照して下さい)」と返答したという。
更に悪いことに「Cocoruder」は、この脆弱性を悪用する概念実証(PoC)ファイルをリリースしており、これはこの欠陥が悪用されることを証明している。脆弱なバージョンのアクセスでそのPoCファイルを開くと、ウィンドウズの計算機が自動的に始まる。ライブセキュリティ・チームがテスト用のマシーンでこのPoCをテストしたところ、説明されている通りになった。この特定のPoCに害はないが、ブラックハットの攻撃者はこのPoCを簡単に改変し、計算機だけでなく、あらゆるものを被害者のマシーンで実行することができるようになるだろう。アクセスを使用している場合は、このゼロデイ問題を深刻なリスクとして考慮するべきだ。
【対策】
マイクロソフトは、このゼロデイ脆弱性問題に対する修正プログラムをリリースしておらず、問題を報告した「Cocoruder」は、マイクロソフトにその意向はないと述べている。このため、今の時点で講じることのできる対策は2つある。1つは、この脆弱性や勝手に送られてくるMDBファイル、それに付随してくるものについて懸念すること。別の方法としては、.MDBファイルをゲートウェイでブロックすること。Fireboxでファイルを阻止する方法については次を参照。
ウォッチガードのFireboxユーザー
Fireboxシリーズ製品の大方は、アクセス・データベース(.MDB)ファイルをゲートウェイでブロックするように設定することができる。大抵の場合において、業務上、外部からアクセス・データベース・ファイルを受信する必要はないため、このファイルタイプをブロックしてもユーザーへの影響はないだろう。けれども、そうしたケースにあてはまらない場合は、アクセスを使うチームのマネージャーを集めインターネット経由で.MDBファイルを受信しなければならない理由があるか確認するといい。または、ファイアウォールでそのファイルタイプをブロックし、誰かが苦情を言うか様子を見るといった方法もある。こちらの方がより効率的で安全かもしれない。
メールやウェブ経由で届く.MDBファイルをブロックしたい場合は、次の手順(英語+図)を参照することをすすめる。
(手順)
・バージョン8.5又はそれ以降のバージョンを使用しているFirebox X Edge用
POP3 プロキシー
HTTP プロキシー
・WFSを使用しているFirebox IIIおよびX Core用
SMTP プロキシー
HTTP プロキシー
オンライン・トレーニング、プロキシー・モジュール
・Fireware Proを使用しているFirebox X CoreおよびX Peak
SMTP プロキシー
HTTP プロキシー
【ステータス】
マイクロソフトは、この問題を修正するプログラムをリリースしていない。アップデートが入手可能になれば連絡する。
【参考文献】
「Cocoruder」によるマイクロソフト・ジェット・エンジンのセキュリティ・アドバイザリー(中国語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
セキュリティ・アラート
■ゼロデイ、マイクロソフトのアクセス悪用
危険度:中
日付:2007年11月16日
【概要】
米国時間の11月16日、ウィンドウズ・アクセス2003(それ以前のバージョンも対象である可能性あり)に影響を与えている深刻なゼロデイ脆弱性について、中国の研究家がアドバイザリーをリリースした。
細工したMDBファイルをユーザーに開かせることに成功すると、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行できるようになる。場合によって、攻撃者は被害者のマシーンのコントロール権を完全に獲得することもできる。マイクロソフト・オフィス2003でAccessを使用している場合は、マイクロソフトが修正プログラムをリリースするまで、このアラートの《対策》で説明している回避策を講じることをすすめる。
【問題の詳細】
中国のセキュリティ研究家である自称「Cocoruder」は、米国時間の11月16日にセキュリティ・アドバイザリー(中国語)をリリースした。このアドバイザリーは、MDBファイルを解析するためにアクセスが使用するマイクロソフト・ジェット・エンジンの、コンポーネント(msjet40.dll)に見られるバッファ・オーバーフロー問題について説明している。このバッファ・オーバーフロー問題に対応する修正プログラムは用意されていない。細工されたMDBファイルをユーザーに開かせることで攻撃者はこの欠陥を悪用し、ユーザーの権限を持った状態で、その被害者のコンピューターでコードを実行することができるようになる。被害者にローカル管理者の権限が付いていた場合、攻撃者はこの欠陥を利用して被害者のコンピューターを完全にコントロールできるようになる。
「Cocoruder」は、マイクロソフトがこの問題に対応する修正プログラムをリリースする以前に、アドバイザリーをリリースした。「Cocoruder」は、欠陥についてマイクロソフトに連絡をしたものの、マイクロソフトはこの問題を修正しないと述べた、とアドバイザリーで説明している。また、「Cocoruder」による脆弱性の情報開示について、マイクロソフトは「You appear to be reporting an issue with a file type Microsoft considers to be unsafe. Many programs, such as Internet Explorer and Outlook, automatically block these files. For more information, please visit http://support.microsoft.com/kb/925330.(マイクロソフトが安全ではないと見なすファイル・タイプの問題を報告しているようですが、インターネット・エクスプローラやアウトルックなど多くのプログラムは、そうしたファイルを自動的にブロックするようになっています。詳細については次のリンクを参照して下さい)」と返答したという。
更に悪いことに「Cocoruder」は、この脆弱性を悪用する概念実証(PoC)ファイルをリリースしており、これはこの欠陥が悪用されることを証明している。脆弱なバージョンのアクセスでそのPoCファイルを開くと、ウィンドウズの計算機が自動的に始まる。ライブセキュリティ・チームがテスト用のマシーンでこのPoCをテストしたところ、説明されている通りになった。この特定のPoCに害はないが、ブラックハットの攻撃者はこのPoCを簡単に改変し、計算機だけでなく、あらゆるものを被害者のマシーンで実行することができるようになるだろう。アクセスを使用している場合は、このゼロデイ問題を深刻なリスクとして考慮するべきだ。
【対策】
マイクロソフトは、このゼロデイ脆弱性問題に対する修正プログラムをリリースしておらず、問題を報告した「Cocoruder」は、マイクロソフトにその意向はないと述べている。このため、今の時点で講じることのできる対策は2つある。1つは、この脆弱性や勝手に送られてくるMDBファイル、それに付随してくるものについて懸念すること。別の方法としては、.MDBファイルをゲートウェイでブロックすること。Fireboxでファイルを阻止する方法については次を参照。
ウォッチガードのFireboxユーザー
Fireboxシリーズ製品の大方は、アクセス・データベース(.MDB)ファイルをゲートウェイでブロックするように設定することができる。大抵の場合において、業務上、外部からアクセス・データベース・ファイルを受信する必要はないため、このファイルタイプをブロックしてもユーザーへの影響はないだろう。けれども、そうしたケースにあてはまらない場合は、アクセスを使うチームのマネージャーを集めインターネット経由で.MDBファイルを受信しなければならない理由があるか確認するといい。または、ファイアウォールでそのファイルタイプをブロックし、誰かが苦情を言うか様子を見るといった方法もある。こちらの方がより効率的で安全かもしれない。
メールやウェブ経由で届く.MDBファイルをブロックしたい場合は、次の手順(英語+図)を参照することをすすめる。
(手順)
・バージョン8.5又はそれ以降のバージョンを使用しているFirebox X Edge用
POP3 プロキシー
HTTP プロキシー
・WFSを使用しているFirebox IIIおよびX Core用
SMTP プロキシー
HTTP プロキシー
オンライン・トレーニング、プロキシー・モジュール
・Fireware Proを使用しているFirebox X CoreおよびX Peak
SMTP プロキシー
HTTP プロキシー
【ステータス】
マイクロソフトは、この問題を修正するプログラムをリリースしていない。アップデートが入手可能になれば連絡する。
【参考文献】
「Cocoruder」によるマイクロソフト・ジェット・エンジンのセキュリティ・アドバイザリー(中国語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。