マイクロソフトの臨時パッチ2件:ブラックハット キルビット(Killbit)のバイパス問題を修正するアップデート 2009年7月29日
マイクロソフトの臨時パッチ2件:ブラックハット キルビット(Killbit)のバイパス問題を修正するアップデート
危険度:高
2009年7月29日
【概要】
【詳細】
マイクロソフトは第三者のベンダーがActiveX フレームワークを使ってIEにプラグインを追加することを許可している。しかし残念なことに、そうした第三者のActiveXコントロールがIEやWindowsに脆弱性をもたらしてしまうことがある。このため、マイクロソフトはIEにキルビットのメカニズムを取り入れており、特定のActiveXコントロールがユーザのシステムで実行されないようにすることができる。つまり、特定のActiveXコントロールにキルビットを設定した場合、IEでは決して実行されないようになる。実際、マイクロソフトはIEに見られるActiveXの脆弱性を修正する際に、このキルビット・メカニズムを頻繁に活用しており、最近報告したマイクロソフトのアップデートやその他様々なアップデートでも、内在する脆弱性のリスクを緩和させるために問題のActiveXコントロールにキルビットを設定している。というわけで、マイクロソフトによれば少なくともこれまでに175件の脆弱なActiveXコントロールにキルビットを設定しているという。
今日行われたブラックハット・セキュリティ・コンフィレンスのプレゼンテーションの1つで、セキュリティ研究者であるマーク・ダウド氏、ライアン・スミス氏、デイビッド・デューイー氏の3人は、IEキルビット・メカニズムのバイパスを可能にする脆弱性のデモンストレーションを計画した。この欠陥は、マイクロソフトが様々な開発パッケージに搭載しているものと同じ開発用テンプレートに関与している。簡潔に説明すると、マイクロソフトのアクティブ・テンプレート・ライブラリ(ATL)に欠陥のあるテンプレートがあり、開発者がそれを使ってActiveXコントロールを作成した場合、そのActiveXコントロールは、この新しいキルビット・バイパス脆弱性の対象となる。また、欠陥のあるActiveXコントロールにキルビットを設定しても、攻撃者はそのActiveXコントロールをIEで実行することができる。スミス氏のHustlelabs ページに掲載されている短いビデオでは、この攻撃を実際に見ることができる。この新しい脆弱性は、これまでにマイクロソフトが用意してきたIEアップデートによる修正の多くを無効にしてしまう。つまり、脆弱性を阻止するために、ActiveXコントロールのキルビット設定を行ったIEのアップデートはすべて無効となる。
今回の臨時パッチ・リリースでマイクロソフトは2件のセキュリティ・アドバイザリを公開し、この新しいキルビット・バイパスの脆弱性と、その他いくつかの問題を修正している。
次に、公開されたセキュリティ・アドバイザリの概要を簡単に説明しておく。
MS09-034
2009年7月インターネット・エクスプローラの累積パッチ
このIEの累積アップデートは、先の3氏がIEのキルビット・メカニズムをバイパスすることに使った欠陥を修正している。また、プライベートに報告されていたIEの脆弱性3件も修正している。3つの新しい脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は悪質なウェブページにユーザを誘導し、脆弱性を悪用してユーザの権限を獲得、そのユーザのコンピュータでコードを実行することができる。大方のWindows 欠陥においてよく見られるように、ユーザにローカル管理者の特権がある場合はユーザのコンピュータを攻撃者が完全に操作できるようになる。
また、攻撃者はキルビット・バイパスの脆弱性を利用してこれまでにマイクロソフトが修正したはずの様々な脆弱性を活用できるので、累積パッチをインストールすることを強く勧める。
マイクロソフトによる評価: 緊急
MS09-035
Visual Studio アクティブ・テンプレート・ライブラリ(ATL)のコード実行問題
このアラートの対策の欄でも説明したが、攻撃者がIEのキルビット・メカニズムをバイパスできるようにする脆弱性は、Visual Studioのアクティブ・テンプレート・ライブラリ(ATL)にあるテンプレートの1つを通じて発覚した。開発者が欠陥のあるテンプレートを使って独自のActiveXコントロールを作成した場合、キルビットが設定されていても攻撃者はそのコントロールを利用できる。しかし、このVisual Studioアップデートでは欠陥のあったテンプレートを修正し、新しいテンプレートで作成されたActiveXコントロールがキルビット・バイパス問題の影響を受けないことを確かにしている。ActiveXコントロールを開発している場合は、Visual Studioアップデートをインストールすることを勧める。
マイクロソフトによる評価: 中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-034
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動する。また、脆弱性の中には開発環境下の内部で見られる可能性があるものも存在するので、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年7月29日
【概要】
- 対象:
インターネット・エクスプローラ(IE)8とそれ以前のバージョン、及びVisual Studio製品多数
- 攻撃方法:
悪性のウェブ・ページやリンクにユーザを誘導する
- 影響:
最悪の場合は攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
- 対策:
至急、マイクロソフトが提供しているアップデートを導入すること
【詳細】
マイクロソフトは第三者のベンダーがActiveX フレームワークを使ってIEにプラグインを追加することを許可している。しかし残念なことに、そうした第三者のActiveXコントロールがIEやWindowsに脆弱性をもたらしてしまうことがある。このため、マイクロソフトはIEにキルビットのメカニズムを取り入れており、特定のActiveXコントロールがユーザのシステムで実行されないようにすることができる。つまり、特定のActiveXコントロールにキルビットを設定した場合、IEでは決して実行されないようになる。実際、マイクロソフトはIEに見られるActiveXの脆弱性を修正する際に、このキルビット・メカニズムを頻繁に活用しており、最近報告したマイクロソフトのアップデートやその他様々なアップデートでも、内在する脆弱性のリスクを緩和させるために問題のActiveXコントロールにキルビットを設定している。というわけで、マイクロソフトによれば少なくともこれまでに175件の脆弱なActiveXコントロールにキルビットを設定しているという。
今日行われたブラックハット・セキュリティ・コンフィレンスのプレゼンテーションの1つで、セキュリティ研究者であるマーク・ダウド氏、ライアン・スミス氏、デイビッド・デューイー氏の3人は、IEキルビット・メカニズムのバイパスを可能にする脆弱性のデモンストレーションを計画した。この欠陥は、マイクロソフトが様々な開発パッケージに搭載しているものと同じ開発用テンプレートに関与している。簡潔に説明すると、マイクロソフトのアクティブ・テンプレート・ライブラリ(ATL)に欠陥のあるテンプレートがあり、開発者がそれを使ってActiveXコントロールを作成した場合、そのActiveXコントロールは、この新しいキルビット・バイパス脆弱性の対象となる。また、欠陥のあるActiveXコントロールにキルビットを設定しても、攻撃者はそのActiveXコントロールをIEで実行することができる。スミス氏のHustlelabs ページに掲載されている短いビデオでは、この攻撃を実際に見ることができる。この新しい脆弱性は、これまでにマイクロソフトが用意してきたIEアップデートによる修正の多くを無効にしてしまう。つまり、脆弱性を阻止するために、ActiveXコントロールのキルビット設定を行ったIEのアップデートはすべて無効となる。
今回の臨時パッチ・リリースでマイクロソフトは2件のセキュリティ・アドバイザリを公開し、この新しいキルビット・バイパスの脆弱性と、その他いくつかの問題を修正している。
次に、公開されたセキュリティ・アドバイザリの概要を簡単に説明しておく。
MS09-034
2009年7月インターネット・エクスプローラの累積パッチ
このIEの累積アップデートは、先の3氏がIEのキルビット・メカニズムをバイパスすることに使った欠陥を修正している。また、プライベートに報告されていたIEの脆弱性3件も修正している。3つの新しい脆弱性はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者は悪質なウェブページにユーザを誘導し、脆弱性を悪用してユーザの権限を獲得、そのユーザのコンピュータでコードを実行することができる。大方のWindows 欠陥においてよく見られるように、ユーザにローカル管理者の特権がある場合はユーザのコンピュータを攻撃者が完全に操作できるようになる。
また、攻撃者はキルビット・バイパスの脆弱性を利用してこれまでにマイクロソフトが修正したはずの様々な脆弱性を活用できるので、累積パッチをインストールすることを強く勧める。
マイクロソフトによる評価: 緊急
MS09-035
Visual Studio アクティブ・テンプレート・ライブラリ(ATL)のコード実行問題
このアラートの対策の欄でも説明したが、攻撃者がIEのキルビット・メカニズムをバイパスできるようにする脆弱性は、Visual Studioのアクティブ・テンプレート・ライブラリ(ATL)にあるテンプレートの1つを通じて発覚した。開発者が欠陥のあるテンプレートを使って独自のActiveXコントロールを作成した場合、キルビットが設定されていても攻撃者はそのコントロールを利用できる。しかし、このVisual Studioアップデートでは欠陥のあったテンプレートを修正し、新しいテンプレートで作成されたActiveXコントロールがキルビット・バイパス問題の影響を受けないことを確かにしている。ActiveXコントロールを開発している場合は、Visual Studioアップデートをインストールすることを勧める。
マイクロソフトによる評価: 中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-034
- Internet Explorer 5.1
- Internet Explorer 6.0
- Internet Explorer 7.0
- Internet Explorer 8.0
- * 注意:Server Coreインストール・オプションでインストールしたWindows
Server 2008 Administrators に対する欠陥の影響はない。
- Microsoft Visual Studio .NET 2003 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 Service Pack 1
- Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
- Microsoft Visual C++ 2008 Redistributable Package
- Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動する。また、脆弱性の中には開発環境下の内部で見られる可能性があるものも存在するので、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。