3つの深刻な問題を修正するWindowsセキュリティ・アップデート 2009年11月10日
3つの深刻な問題を修正するWindowsセキュリティ・アップデート
ウェブサービス、アクティブ・ディレクトリ、カーネルなどに影響
危険度:高
2009年11月10日
【概要】
【詳細】
米国時間の11月10日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報4件をリリースした。各脆弱性がもたらす影響はWindowsのバージョンにより異なる。リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。
次に、危険度の高いものから順に脆弱性の概要を説明しておく。
MS09-063
WSDメモリ破壊の問題
Web Services on Devices(WSD)は、Windowsクライアントがネットワークでリモート・デバイス(PDAやカメラ、スマートフォンなど)を見付け、それらにアクセスする際に役立つコンポーネントだ。WSD はWindows VistaとServer 2008にのみ搭載されているが、細工されたWSDメッセージを正しく解析することができない点に関与するメモリ破壊問題の影響を受けている。細工したWSDメッセージを脆弱なWindowsに送信することで、攻撃者はこの欠陥を悪用し、ユーザのコンピュータでそのユーザの権限を獲得した状態で任意コードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。但し、Windowsのファイアウォールはユーザのローカル・ネットワークからのWSDコネクションのみを許可するようになっているほか、ウォッチガードのFireboxのようなネットワーク・ファイアウォールも標準設定によりWSDポート(TCPポート5357、5358)をブロックするようになっているため、この欠陥は主に内部脅威に繋がる問題となる。
マイクロソフトによる評価: 緊急
MS09-064
Win2K LLS バッファ・オーバーフロー問題
ライセンス・ログ・サーバー(LLS)は、管理者がサーバー・クライアント・アクセス・ライセンス(CAL)モデルでライセンスされているマイクロソフトのサーバー製品ライセンスを管理するために役立つ。LLSはWindowsの旧いサーバー・バージョンに搭載されており、この欠陥はWindows 2000サーバーのLLSのみに影響している。LLSは細工されたRPCメッセージのパラメータの長さを適切に確認できない点に関与するバッファ・オーバーフローの影響を受けている。攻撃者は細工したRPCメッセージを送信することでこの脆弱性を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、大方の管理者はRPCをファイアウォールで許可していないため、この脆弱性は主に内部攻撃の対象となる。この欠陥はWindows 2000のみに影響している。
マイクロソフトによる評価: 緊急
MS09-065
Windowsカーネル脆弱性(3)
Windows カーネルは2つの権限昇格(EoP)の問題の影響を受けている。欠陥はそれぞれ技術的に異なるが、その行動範囲と影響はよく似ている。細工したプログラムをユーザのWindowsで実行したり、細工したEOTフォントでレンダーしたコンテンツをユーザが閲覧するように仕向けたりすることで、攻撃者はそのWindowsシステムを完全に操作できるようになる。こうした2つの欠陥において、攻撃者が悪質なプログラムを実行するには被害者のコンピュータへのローカル・アクセス権が必要となるため、この脆弱性は主に内部攻撃対象となる。 但し、リモート・ハッカーはユーザが特別なフォントを含むコンテンツを閲覧するように仕向けることができるため、特定のカーネル脆弱性がもっとも深刻なリスクを提示している。
マイクロソフトによる評価: 緊急
MS09-066
アクティブディレクトリのDoS脆弱性
Active Directory(AD:アクティブディレクトリ)は集中認証や認証サービスをWindowsコンピュータに提供し、Windowsの最近のサーバ・バージョンの大方に搭載されている。しかしADは特定のLDAPやLDAPSメッセージを適切に解析することができないことから、サービス拒否(DoS)の脆弱性の影響を受けている。細工したLDAPやLDAPSをユーザのADサービスに送信することで、攻撃者はサーバが反応しなくなるようにすることができる。この場合ユーザは認証を再開する前にADサーバを再起動させなければならなくなる。しかし、大方の管理者はLDAPをファイアウォールで許可していないため、この欠陥は主に内部脅威対象である。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。 日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し、「Change」をクリック:
MS09-063
【ウォッチガード・ユーザ】
WatchGuard のFireboxは本来こうした攻撃に関連するネットワーク・トラフィックをブロックするようになっている。しかし、攻撃者はローカルで攻撃を利用したり通常のHTTPに見せ掛けたトラフィックを送信したりするため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
ウェブサービス、アクティブ・ディレクトリ、カーネルなどに影響
危険度:高
2009年11月10日
【概要】
- 対象:
最新版のWindowsとそれに搭載されているコンポーネント
- 攻撃方法:
細工したパケットをユーザに送信したり、悪質なプログラムを実行するなど攻撃方法はいくつもある
- 影響:
結果は様々だが最悪の場合は、攻撃者がユーザのWindowsコンピュータを完全に操作できるようになる
- 対策:
状況に適したOfficeパッチを至急インストールするか、マイクロソフトの自動アップデートで自動的に必要なパッチをインストールすること
【詳細】
米国時間の11月10日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報4件をリリースした。各脆弱性がもたらす影響はWindowsのバージョンにより異なる。リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。
次に、危険度の高いものから順に脆弱性の概要を説明しておく。
MS09-063
WSDメモリ破壊の問題
Web Services on Devices(WSD)は、Windowsクライアントがネットワークでリモート・デバイス(PDAやカメラ、スマートフォンなど)を見付け、それらにアクセスする際に役立つコンポーネントだ。WSD はWindows VistaとServer 2008にのみ搭載されているが、細工されたWSDメッセージを正しく解析することができない点に関与するメモリ破壊問題の影響を受けている。細工したWSDメッセージを脆弱なWindowsに送信することで、攻撃者はこの欠陥を悪用し、ユーザのコンピュータでそのユーザの権限を獲得した状態で任意コードを実行できるようになる。また、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。但し、Windowsのファイアウォールはユーザのローカル・ネットワークからのWSDコネクションのみを許可するようになっているほか、ウォッチガードのFireboxのようなネットワーク・ファイアウォールも標準設定によりWSDポート(TCPポート5357、5358)をブロックするようになっているため、この欠陥は主に内部脅威に繋がる問題となる。
マイクロソフトによる評価: 緊急
MS09-064
Win2K LLS バッファ・オーバーフロー問題
ライセンス・ログ・サーバー(LLS)は、管理者がサーバー・クライアント・アクセス・ライセンス(CAL)モデルでライセンスされているマイクロソフトのサーバー製品ライセンスを管理するために役立つ。LLSはWindowsの旧いサーバー・バージョンに搭載されており、この欠陥はWindows 2000サーバーのLLSのみに影響している。LLSは細工されたRPCメッセージのパラメータの長さを適切に確認できない点に関与するバッファ・オーバーフローの影響を受けている。攻撃者は細工したRPCメッセージを送信することでこの脆弱性を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、大方の管理者はRPCをファイアウォールで許可していないため、この脆弱性は主に内部攻撃の対象となる。この欠陥はWindows 2000のみに影響している。
マイクロソフトによる評価: 緊急
MS09-065
Windowsカーネル脆弱性(3)
Windows カーネルは2つの権限昇格(EoP)の問題の影響を受けている。欠陥はそれぞれ技術的に異なるが、その行動範囲と影響はよく似ている。細工したプログラムをユーザのWindowsで実行したり、細工したEOTフォントでレンダーしたコンテンツをユーザが閲覧するように仕向けたりすることで、攻撃者はそのWindowsシステムを完全に操作できるようになる。こうした2つの欠陥において、攻撃者が悪質なプログラムを実行するには被害者のコンピュータへのローカル・アクセス権が必要となるため、この脆弱性は主に内部攻撃対象となる。 但し、リモート・ハッカーはユーザが特別なフォントを含むコンテンツを閲覧するように仕向けることができるため、特定のカーネル脆弱性がもっとも深刻なリスクを提示している。
マイクロソフトによる評価: 緊急
MS09-066
アクティブディレクトリのDoS脆弱性
Active Directory(AD:アクティブディレクトリ)は集中認証や認証サービスをWindowsコンピュータに提供し、Windowsの最近のサーバ・バージョンの大方に搭載されている。しかしADは特定のLDAPやLDAPSメッセージを適切に解析することができないことから、サービス拒否(DoS)の脆弱性の影響を受けている。細工したLDAPやLDAPSをユーザのADサービスに送信することで、攻撃者はサーバが反応しなくなるようにすることができる。この場合ユーザは認証を再開する前にADサーバを再起動させなければならなくなる。しかし、大方の管理者はLDAPをファイアウォールで許可していないため、この欠陥は主に内部脅威対象である。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。 日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し、「Change」をクリック:
MS09-063
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Server 2008
- Windows Server 2008 x64
【ウォッチガード・ユーザ】
WatchGuard のFireboxは本来こうした攻撃に関連するネットワーク・トラフィックをブロックするようになっている。しかし、攻撃者はローカルで攻撃を利用したり通常のHTTPに見せ掛けたトラフィックを送信したりするため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
- マイクロソフトのセキュリティアドバイザリ:MS09-063
- マイクロソフトのセキュリティアドバイザリ:MS09-064
- マイクロソフトのセキュリティアドバイザリ:MS09-065
- マイクロソフトのセキュリティアドバイザリ:MS09-066
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。