ウィンドウズ欠陥4件の中でも、悪質なWebDAVのセキュリティ問題 2008年2月12日
ウィンドウズ欠陥4件の中でも、悪質なWebDAVのセキュリティ問題
危険度: 高
2008年2月12日
【概要】
対象
・Windows現バージョンすべて
悪用法
・細工したパケットを送信したり、悪質なウェブ・ページにユーザーを誘導するなど、複数の攻撃方法あり。
影響
・様々な結果あり。 最悪の場合、攻撃者はユーザーのWindowsコンピューターを完全にコントロールできるようになる。
対策
・状況に適したマイクロソフトの修正プログラムを至急インストールすること。
【問題の詳細】
米国時間の2月12日、マイクロソフトはWindows、及びそれに搭載されているコンポーネントに影響を与えているセキュリティ問題に関し、4件のセキュリティ情報をリリースした。 各セキュリティ問題は、異なるバージョンのWindowsを対象に、様々な影響を与えている。 リモート攻撃者は中でも悪質なセキュリティ問題を悪用しユーザーのWindows PCを完全にコントロールすることができる。 次にリスクの高いものから順に、セキュリティ問題の概要について説明する。
MS08-007:
WebDAVヒープ・バッファ・オーバーフローの問題
WebDAVは、HTTPプロトコルの拡張セットでTCPポート80を使い、ウェブ・サーバーにリモートからコンテンツを発行したり管理したりすることを可能にする。Windowsには、WebDAVをサポートするウェブ・クライアント・サービスが搭載されており、大方のバージョンのWindows(サーバー2003を除く)は、このサービスをディフォルトで有効にしている。 ところがウェブ・クライアント・サービスは細工されたWebDAV応答処理に関与する、ヒープ・バッファ・オーバーフローの問題の影響を受けている。 そのように細工された応答を脆弱なWindowsコンピューターに送信することで、攻撃者はこの問題を悪用し、そのマシーンを完全にコントロールすることができる。このセキュリティ問題に対して全バージョンのWindowsが脆弱であるが、Windowsのウェブ・サーバーにおいて、その脅威は最大となる。 この攻撃はポート80で行われるが、外部のユーザーが自分のウェブサイトにアクセスできるようにしておくには、ポート80へのアクセスを許可しておかなければならない。Windowsシステムのウェブ・サーバーは、この攻撃において大きなリスク対象となる。
マイクロソフトによる危険度:「緊急」「緊急」
MS08-008:
OLEヒープ・バッファ・オーバーフローの問題
マイクロソフトによると、自動OLEはアプリケーションがデータを共用したり、他のアプリケーションをコントロールするためのWindowsプロトコルであるという。 例えばOLEは、画像やムービーなど特別のオブジェクト・リンクをマイクロソフト・ドキュメントに追加することができるようにする。 ところが、Windows OLEコンポーネントは、バッファ・オーバーフローの問題を受けている。 細工したウェブ・ページにユーザーを誘導すると、攻撃者はこの問題を悪用し、ユーザーの権限を獲得した上で、そのユーザーのコンピューターでコードを実行することができる。 ユーザーにローカル管理者の権限が付いていた場合、攻撃者はこの脆弱性を昇格させ、PCを完全にコントロールできる。 影響を受けているOLEコンポーネントは、マイクロソフトのVisual Basic 6.0、及びMicrosoft Office 2004(Mac版)にも搭載されているため、それらもこのセキュリティ問題の影響を受けていることになる。
マイクロソフトによる危険度:「緊急」
MS08-003:
アクティブ・ディレクトリーのサービス拒否問題
アクティブ・ディレクトリーは、一元認証や認証サービスをWindowsコンピューターに提供するWindowsのコンポーネントである。 アクティブ・ディレクトリーは、Windowsサーバーで使用されるが、ADAM(アクティブ・ディレクトリー・アプリケーション・モード)サービスとしてWindowsクライアントでも使われる。 マイクロソフトのセキュリティ情報は、細工されたLDAPパケットをアクティブ・ディレクトリーが処理する方法に関与する、未特定のサービス拒否問題について警告している。 悪性のLDAPリクエストを送信することでリモート攻撃者は、このセキュリティ問題を悪用してWindowsのコンピューターがロックアップしたり、再起動させることができる。 攻撃者は、このセキュリティ問題を繰り返し悪用することでWindowsマシーンをできる限り長い間オフラインの状態にさせ、この攻撃を維持できる。 しかし大方の管理者は、ペリミター・ファイアウォールでLDAPトラフィックを許可していないため(TCPポート389と3268)、このセキュリティ問題は主に内部脅威であると見られる。
マイクロソフトによる危険度:「重要」
MS08-004:
Vista DHCP応答処理のサーバー拒否問題
Windows Vistaは、細工されたDHCP応答パケットの処理に関与する、未特定のサービス拒否問題の影響を受けている。 悪性のDHCP応答パケットを脆弱なVistaマシーンに送信することで、リモート攻撃者はこのセキュリティ問題を悪用し、マシーンがロックアップしたり再起動させたりすることができる。 攻撃者は、このセキュリティ問題を繰り返し悪用することで、被害者のマシーンをできる限り長い間オフライン状態にさせ、この攻撃を維持することができる。 DHCPトラフィックは、通常ペリミター・ファイアウォールを通過しないため、この脆弱性は主に内部脅威であると見られる。
マイクロソフトによる危険度:「重要」
【対策】
マイクロソフトはWindowsを対象に、こうした問題を全て修正するプログラムをリリースしている。 状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意: マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは、今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することをすすめる。
ダウンロード先(日本語版):
MS08-007:
・XP SP2
・XP x64
・Server 2003
・Server 2003 x64
・Server 2003 Itanium版
・Vista
・Vista x64
Windows 2000、Vista w/SP1、Server 2008への影響はなし。
MS08-008:
・2000
・XP SP2
・XP x64
・Server 2003
・Server 2003 x64
・Server 2003 Itanium版
・Vista
・Vista x64
・Microsoft Visual Basic 6.0
・Microsoft Office 2004 Mac版
MS08-003:
・2000
・XP SP2
・XP x64
・Server 2003
・アクティブ・ディレクトリー・アップデート
・ADAMアップデート
・Server 2003 x64
・アクティブ・ディレクトリー・アップデート
・ADAMアップデート
・Server 2003 Itanium版
Windows 2000、Vista w/SP1、Server 2008への影響はなし。
MS08-004:
・Vista
・Vista x64
ウォッチガード・ユーザー:
ウォッチガードのFireboxは、こうしたセキュリティ問題によるリスクをディフォルトで軽減するようになっている。 しかし、攻撃者はファイアウォールをトラフィックが通過することのないローカルで悪用を行うため、先に説明した修正プログラムを導入することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するプログラムをリリースしている。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-003
・マイクロソフトのセキュリティ情報:MS08-004
・マイクロソフトのセキュリティ情報:MS08-007
・マイクロソフトのセキュリティ情報:MS08-008
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
危険度: 高
2008年2月12日
【概要】
対象
・Windows現バージョンすべて
悪用法
・細工したパケットを送信したり、悪質なウェブ・ページにユーザーを誘導するなど、複数の攻撃方法あり。
影響
・様々な結果あり。 最悪の場合、攻撃者はユーザーのWindowsコンピューターを完全にコントロールできるようになる。
対策
・状況に適したマイクロソフトの修正プログラムを至急インストールすること。
【問題の詳細】
米国時間の2月12日、マイクロソフトはWindows、及びそれに搭載されているコンポーネントに影響を与えているセキュリティ問題に関し、4件のセキュリティ情報をリリースした。 各セキュリティ問題は、異なるバージョンのWindowsを対象に、様々な影響を与えている。 リモート攻撃者は中でも悪質なセキュリティ問題を悪用しユーザーのWindows PCを完全にコントロールすることができる。 次にリスクの高いものから順に、セキュリティ問題の概要について説明する。
MS08-007:
WebDAVヒープ・バッファ・オーバーフローの問題
WebDAVは、HTTPプロトコルの拡張セットでTCPポート80を使い、ウェブ・サーバーにリモートからコンテンツを発行したり管理したりすることを可能にする。Windowsには、WebDAVをサポートするウェブ・クライアント・サービスが搭載されており、大方のバージョンのWindows(サーバー2003を除く)は、このサービスをディフォルトで有効にしている。 ところがウェブ・クライアント・サービスは細工されたWebDAV応答処理に関与する、ヒープ・バッファ・オーバーフローの問題の影響を受けている。 そのように細工された応答を脆弱なWindowsコンピューターに送信することで、攻撃者はこの問題を悪用し、そのマシーンを完全にコントロールすることができる。このセキュリティ問題に対して全バージョンのWindowsが脆弱であるが、Windowsのウェブ・サーバーにおいて、その脅威は最大となる。 この攻撃はポート80で行われるが、外部のユーザーが自分のウェブサイトにアクセスできるようにしておくには、ポート80へのアクセスを許可しておかなければならない。Windowsシステムのウェブ・サーバーは、この攻撃において大きなリスク対象となる。
マイクロソフトによる危険度:「緊急」「緊急」
MS08-008:
OLEヒープ・バッファ・オーバーフローの問題
マイクロソフトによると、自動OLEはアプリケーションがデータを共用したり、他のアプリケーションをコントロールするためのWindowsプロトコルであるという。 例えばOLEは、画像やムービーなど特別のオブジェクト・リンクをマイクロソフト・ドキュメントに追加することができるようにする。 ところが、Windows OLEコンポーネントは、バッファ・オーバーフローの問題を受けている。 細工したウェブ・ページにユーザーを誘導すると、攻撃者はこの問題を悪用し、ユーザーの権限を獲得した上で、そのユーザーのコンピューターでコードを実行することができる。 ユーザーにローカル管理者の権限が付いていた場合、攻撃者はこの脆弱性を昇格させ、PCを完全にコントロールできる。 影響を受けているOLEコンポーネントは、マイクロソフトのVisual Basic 6.0、及びMicrosoft Office 2004(Mac版)にも搭載されているため、それらもこのセキュリティ問題の影響を受けていることになる。
マイクロソフトによる危険度:「緊急」
MS08-003:
アクティブ・ディレクトリーのサービス拒否問題
アクティブ・ディレクトリーは、一元認証や認証サービスをWindowsコンピューターに提供するWindowsのコンポーネントである。 アクティブ・ディレクトリーは、Windowsサーバーで使用されるが、ADAM(アクティブ・ディレクトリー・アプリケーション・モード)サービスとしてWindowsクライアントでも使われる。 マイクロソフトのセキュリティ情報は、細工されたLDAPパケットをアクティブ・ディレクトリーが処理する方法に関与する、未特定のサービス拒否問題について警告している。 悪性のLDAPリクエストを送信することでリモート攻撃者は、このセキュリティ問題を悪用してWindowsのコンピューターがロックアップしたり、再起動させることができる。 攻撃者は、このセキュリティ問題を繰り返し悪用することでWindowsマシーンをできる限り長い間オフラインの状態にさせ、この攻撃を維持できる。 しかし大方の管理者は、ペリミター・ファイアウォールでLDAPトラフィックを許可していないため(TCPポート389と3268)、このセキュリティ問題は主に内部脅威であると見られる。
マイクロソフトによる危険度:「重要」
MS08-004:
Vista DHCP応答処理のサーバー拒否問題
Windows Vistaは、細工されたDHCP応答パケットの処理に関与する、未特定のサービス拒否問題の影響を受けている。 悪性のDHCP応答パケットを脆弱なVistaマシーンに送信することで、リモート攻撃者はこのセキュリティ問題を悪用し、マシーンがロックアップしたり再起動させたりすることができる。 攻撃者は、このセキュリティ問題を繰り返し悪用することで、被害者のマシーンをできる限り長い間オフライン状態にさせ、この攻撃を維持することができる。 DHCPトラフィックは、通常ペリミター・ファイアウォールを通過しないため、この脆弱性は主に内部脅威であると見られる。
マイクロソフトによる危険度:「重要」
【対策】
マイクロソフトはWindowsを対象に、こうした問題を全て修正するプログラムをリリースしている。 状況に適した修正プログラムを至急ダウンロードし、テストしてからネットワーク全体に導入することをすすめる。
注意: マイクロソフトはWindows NT 4.0、98、ME、XP with SP1などの公式サポートを打ち切っている。それらいづれかのオペレーティング・システムを管理しているユーザーに対し、マイクロソフトは、今後の脆弱性へのリスクを軽減させるためにも、サポートされているバージョンに移行することを提案している。 マイクロソフトのセキュリティ・アップデートのサポート延長に関しては、同社の製品サポート・サービスに関するウェブサイトを参照することをすすめる。
ダウンロード先(日本語版):
MS08-007:
・XP SP2
・XP x64
・Server 2003
・Server 2003 x64
・Server 2003 Itanium版
・Vista
・Vista x64
Windows 2000、Vista w/SP1、Server 2008への影響はなし。
MS08-008:
・2000
・XP SP2
・XP x64
・Server 2003
・Server 2003 x64
・Server 2003 Itanium版
・Vista
・Vista x64
・Microsoft Visual Basic 6.0
・Microsoft Office 2004 Mac版
MS08-003:
・2000
・XP SP2
・XP x64
・Server 2003
・アクティブ・ディレクトリー・アップデート
・ADAMアップデート
・Server 2003 x64
・アクティブ・ディレクトリー・アップデート
・ADAMアップデート
・Server 2003 Itanium版
Windows 2000、Vista w/SP1、Server 2008への影響はなし。
MS08-004:
・Vista
・Vista x64
ウォッチガード・ユーザー:
ウォッチガードのFireboxは、こうしたセキュリティ問題によるリスクをディフォルトで軽減するようになっている。 しかし、攻撃者はファイアウォールをトラフィックが通過することのないローカルで悪用を行うため、先に説明した修正プログラムを導入することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するプログラムをリリースしている。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-003
・マイクロソフトのセキュリティ情報:MS08-004
・マイクロソフトのセキュリティ情報:MS08-007
・マイクロソフトのセキュリティ情報:MS08-008
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。