マイクロソフト・アクセスのゼロデイ問題 2008年7月8日
マイクロソフト・アクセスのゼロデイ問題
危険度: 高
2008年7月8日
【概要】
対象:
マイクロソフト・アクセス 2000/2002/2003
攻撃方法:
細工したウェブ・ページにユーザーを誘導する。
影響:
攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる可能性がある。
対策:
この記事の「対策」を参照し回避策を講じること。
【詳細】
米国時間の7月7日遅く、マイクロソフトはセキュリティ・アドバイザリーをリリースし、パッチされていないAccess(アクセス)の深刻な問題がインターネットで攻撃者らによって悪用されていることについて警告した。この問題は全てのバージョンのMicrosoft Access(Access2007バージョンを除く)に搭載されているSnapshotViewer(スナップショット・ビューアー)のActiveXコントロールに関与している。この脆弱性は実際のユーザー環境下で発見されたばかりであるため、マイクロソフトはその技術詳細については何も述べていないが、攻撃者がその新しい脆弱性を利用する方法については説明している。細工した悪性のウェブページにユーザーを誘導すると、攻撃者は欠陥を悪用してユーザーの権限を獲得し、そのユーザーのコンピューターでコードを実行する恐れがある。ユーザーにローカル管理者の権限がある場合、攻撃者はそのユーザーのコンピューターを完全に操作することができるようになる。
攻撃者達はこの問題を実際のユーザー環境ですでに悪用し始めているため(マイクロソフトはこれをターゲット攻撃と説明)、次の対策のいづれかを講じることを強く勧める。
【対策】
この脆弱性に対応するパッチをリリースするための充分な時間をマイクロソフトが必要とするため、パッチが用意され次第、通知する。それまでは、AccessのSnapshotViewerActiveXコントロールのkillbitsを設定することでリスクを緩和させることができる。それにより、欠陥のあるActiveXコントロールがInternetExplorer(インターネット・エクスプローラ)で例示しないため、悪性のウェブサイトがユーザーに対してこの脆弱性を悪用することを阻止できる。これを行うには、まず次のテキストをNotepadテキスト・ファイルにカット&ペーストする。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
次に、テキスト・ファイルをSnapshotViewerkillbits.regとして保存する。保存したら、それをダブルクリックする。Windowsはこの変更事項を自動的にレジストリーに追加するようになっている。このようにkillbitsを設定した場合、正当なウェブサイトでSnapshot Viewerも機能しなくなる点に注意すること。
ウォッチガード・ユーザー対象:
ウォッチガードのFireboxシリーズには、ActiveXアプレットをブロックするように設定できるHTTPプロキシー・ポリシーが付いている製品もある。ActiveXアプレットをブロックすることで、パッチされていないこの脆弱性によるリスクを緩和できる場合もあるが、そうすることで問題のないウェブサイトも正常に機能しなくなることもあるので注意しよう。
ウォッチガード製品でActiveXアプレットをブロックする方法は次の通り。
・WFS管理者対象:
HTTPプロキシー・ポリシーをまだ追加していない場合はそれを行うこと。WFS HTTPプロキシーは、ディフォルトでActiveXをブロックするようになっているが、設定をチェックするには、まずHTTPプロキシー・ポリシーをダブルクリックし、続いてProperties、Settingsをクリックする。HTTPプロキシーのダイアログではDeny ActiveX applets(ActiveXアプレットを拒否)がチェックされていることを確認する。最後にFireboxに変更事項を保存すること。
・Fireware管理者対象:
ActiveXアプレットをブロックするには、ディフォルトのHTTP-Clientアクションをもとに、カスタム・プロキシー・アクションを作成または調整する。Fireware Policy ManagerのSetupをクリックし、続いてActions、Proxiesをクリックする。 HTTP-Clientアクションをベースにしたカスタム・プロキシー・アクションがすでにある場合は、Editをハイライトし選択する。それ以外の場合は、既存のHTTP-Clientアクションをダブルクリックする。プロキシーのコンフィギュレーション・ダイアログにあるHTTP ResponseセクションのBody Content Typesをクリックする。Change ViewボタンをクリックしたらAddをクリックし、新しいダイアログでルールにBlock_ActiveX_applet_1というような名称を付ける。Pattern Matchの横にある欄に次のパターンをカット&ペーストする。
%0x5a4d00900003000000040000ffff0000%*
最後にActionをDenyに変更し、OKをクリックする。同じステップを繰り返し、2つめのパターンを追加する。その場合、Block_ActiveX_applet_2といったように名称は最初のものとは異なるようにすること。次の新しいルールをカット&ペーストする。
%0x4d53434600000000%*
OKを2回クリックしProxy Actionsウィンドウを閉じる。これで新しいプロキシー・アクションをHTTPポリシーに適用し、ActiveXアプレットを確実にブロックすることができる。最後にコンフィギュレーションをFireboxに保存することを忘れないようにしよう。
【ステータス】
マイクロソフトはこのゼロデイ脆弱性に対応するパッチをまだリリースしていないが、入手可能になり次第、連絡する。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリー:MS07-08
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度: 高
2008年7月8日
【概要】
対象:
マイクロソフト・アクセス 2000/2002/2003
攻撃方法:
細工したウェブ・ページにユーザーを誘導する。
影響:
攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる可能性がある。
対策:
この記事の「対策」を参照し回避策を講じること。
【詳細】
米国時間の7月7日遅く、マイクロソフトはセキュリティ・アドバイザリーをリリースし、パッチされていないAccess(アクセス)の深刻な問題がインターネットで攻撃者らによって悪用されていることについて警告した。この問題は全てのバージョンのMicrosoft Access(Access2007バージョンを除く)に搭載されているSnapshotViewer(スナップショット・ビューアー)のActiveXコントロールに関与している。この脆弱性は実際のユーザー環境下で発見されたばかりであるため、マイクロソフトはその技術詳細については何も述べていないが、攻撃者がその新しい脆弱性を利用する方法については説明している。細工した悪性のウェブページにユーザーを誘導すると、攻撃者は欠陥を悪用してユーザーの権限を獲得し、そのユーザーのコンピューターでコードを実行する恐れがある。ユーザーにローカル管理者の権限がある場合、攻撃者はそのユーザーのコンピューターを完全に操作することができるようになる。
攻撃者達はこの問題を実際のユーザー環境ですでに悪用し始めているため(マイクロソフトはこれをターゲット攻撃と説明)、次の対策のいづれかを講じることを強く勧める。
【対策】
この脆弱性に対応するパッチをリリースするための充分な時間をマイクロソフトが必要とするため、パッチが用意され次第、通知する。それまでは、AccessのSnapshotViewerActiveXコントロールのkillbitsを設定することでリスクを緩和させることができる。それにより、欠陥のあるActiveXコントロールがInternetExplorer(インターネット・エクスプローラ)で例示しないため、悪性のウェブサイトがユーザーに対してこの脆弱性を悪用することを阻止できる。これを行うには、まず次のテキストをNotepadテキスト・ファイルにカット&ペーストする。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
"Compatibility Flags"=dword:00000400
次に、テキスト・ファイルをSnapshotViewerkillbits.regとして保存する。保存したら、それをダブルクリックする。Windowsはこの変更事項を自動的にレジストリーに追加するようになっている。このようにkillbitsを設定した場合、正当なウェブサイトでSnapshot Viewerも機能しなくなる点に注意すること。
ウォッチガード・ユーザー対象:
ウォッチガードのFireboxシリーズには、ActiveXアプレットをブロックするように設定できるHTTPプロキシー・ポリシーが付いている製品もある。ActiveXアプレットをブロックすることで、パッチされていないこの脆弱性によるリスクを緩和できる場合もあるが、そうすることで問題のないウェブサイトも正常に機能しなくなることもあるので注意しよう。
ウォッチガード製品でActiveXアプレットをブロックする方法は次の通り。
・WFS管理者対象:
HTTPプロキシー・ポリシーをまだ追加していない場合はそれを行うこと。WFS HTTPプロキシーは、ディフォルトでActiveXをブロックするようになっているが、設定をチェックするには、まずHTTPプロキシー・ポリシーをダブルクリックし、続いてProperties、Settingsをクリックする。HTTPプロキシーのダイアログではDeny ActiveX applets(ActiveXアプレットを拒否)がチェックされていることを確認する。最後にFireboxに変更事項を保存すること。
・Fireware管理者対象:
ActiveXアプレットをブロックするには、ディフォルトのHTTP-Clientアクションをもとに、カスタム・プロキシー・アクションを作成または調整する。Fireware Policy ManagerのSetupをクリックし、続いてActions、Proxiesをクリックする。 HTTP-Clientアクションをベースにしたカスタム・プロキシー・アクションがすでにある場合は、Editをハイライトし選択する。それ以外の場合は、既存のHTTP-Clientアクションをダブルクリックする。プロキシーのコンフィギュレーション・ダイアログにあるHTTP ResponseセクションのBody Content Typesをクリックする。Change ViewボタンをクリックしたらAddをクリックし、新しいダイアログでルールにBlock_ActiveX_applet_1というような名称を付ける。Pattern Matchの横にある欄に次のパターンをカット&ペーストする。
%0x5a4d00900003000000040000ffff0000%*
最後にActionをDenyに変更し、OKをクリックする。同じステップを繰り返し、2つめのパターンを追加する。その場合、Block_ActiveX_applet_2といったように名称は最初のものとは異なるようにすること。次の新しいルールをカット&ペーストする。
%0x4d53434600000000%*
OKを2回クリックしProxy Actionsウィンドウを閉じる。これで新しいプロキシー・アクションをHTTPポリシーに適用し、ActiveXアプレットを確実にブロックすることができる。最後にコンフィギュレーションをFireboxに保存することを忘れないようにしよう。
【ステータス】
マイクロソフトはこのゼロデイ脆弱性に対応するパッチをまだリリースしていないが、入手可能になり次第、連絡する。
【参考資料】
マイクロソフトのセキュリティ・アドバイザリー:MS07-08
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。