8つの脆弱性を修正するWindowsパッチの速報(3件)2009年3月10日
8つの脆弱性を修正するWindowsパッチの速報(3件)
危険度: 高
2009年3月10日
【概要】
対象:
最新版のWindows
攻撃方法:
悪質なウェブサイトにユーザを誘導するなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の3月10日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報3件をリリースした。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。
次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-006 Windowsカーネル脆弱性(3)
カーネルはオペレーティング・システム(OS)の中核にあたるコンポーネントで、ハードウェアとソフトウェア間のやり取りを管理する。マイクロソフトのセキュリティ情報によると、Windowsカーネルは3つの脆弱性の影響を受けており、その中でも悪質な欠陥は、モニタやプリンタにグラフィックを出力するためにWindowsが使うGDIのカーネル・コンポーネントに関与するという。 しかし、このGDI カーネル・コンポーネントは特定のグラフィック入力を適切な形で認証することができないため、攻撃者は加工した悪質のイメージ( .wmf や .emf)をユーザが閲覧するように誘導し(イメージが悪質なウェブサイトにホストされている可能性もある)、リモート攻撃者はこの脆弱性を悪用して「SYSTEM」特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。つまり、攻撃者はユーザのコンピュータを完全に操作できるようになる。その他のカーネル欠陥は権限昇格の脆弱性で、悪用するにはWindowsクレデンシャルとローカル・アクセスが必要になる。
マイクロソフトによる評価: 緊急
MS09-007 SChannel証明書の認証に見られるなりすまし問題
Windows コンポーネントのSChannelはSSLプロトコルや、その後継となったTLSプロトコルを実施するために使用される。例えば、ウェブ・ブラウザはこうしたプロトコルを使用して安全なウェブサイトへの接続を確立しているなど、多くのネットワーク・クライアントは、こういったプロトコルを使って、インターネットで安全性のある接続を構築している。このプロトコルは、ユーザがパブリック・キーやプライベート・キーを使って安全なサーバに認証するなど、証明書ベースの認証もサポートしている(PKIの詳細情報)。
しかし、SChannel はパブリック・キーやプライベート・キーの関係を適切に実行することができない。通常、ウェブ・ブラウザが証明書のパブリック・キー・コンポーネントを使って安全なウェブサイトに認証する場合、そのパブリック・キーに対応する正確なプライベート・キーにアクセスできることを確認するようにもなっているのだが、SChannelはこのパブリック・キーとプライベート・キーの関係を適切に認証することができない。その結果、攻撃者がユーザのパブリック・キーのアクセスのみを獲得した場合、攻撃者はそれを使ってユーザになりすまし、安全なサーバにて信頼されるに値することを証明できる。このため、攻撃者がこの攻撃を実行するにあたりユーザのプライベート・キーは必要ない。その名のように、パブリック・キーは広範囲に渡って分布されることはないが、攻撃者がユーザのパブリック・キーを入手するにはユーザのネットワークでパケット・スニフィングを行ったり、加工したサイトにユーザを誘導しなければならない。しかし、それでもプライベート・キーよりもパブリック・キーの方が入手しやすいといえる。、また、プライベート・キーを認証しないということは、パブリック・キーの暗号法が提供するセキュリティを無効にしていることにもなる。
マイクロソフトによる評価: 重要
MS09-008 4つの Windows DNSとWINS Serverの脆弱性
Windows サーバ版に搭載されているDNSと WINSサーバは、4つのセキュリティ脆弱性の影響を受けている。 まずDNSサーバは、攻撃者が次のDNS トランザクション用IDを予想できるチャンスを高めるプログラミング関連の問題に関与するDNS キャッシュ・ポイズニング脆弱性(2)の影響を受けている。この欠陥は、昨年ダン・カミンスキー氏が解説したメジャーなDNS欠陥に似ている。カミンスキー氏によるこの欠陥の報告書について、またはDNS トランザクション用IDをうまく予想することができることからDNSキャッシュ・ポイズニング攻撃に繋がる詳細について知りたい場合は、ライブセキュリティの DNSアラート 「プロトコル問題の影響を受けているDNSサーバー」 / アップデート記事]や、2008年7月のラジオ・フリー・セキュリティのエピソードを参照にすることをすすめる。
また、DNSおよび WINS サーバはマイクロソフトがWPADと呼んでいる登録機能に関与する脆弱性の影響も受けている。WPADはマイクロソフトのデザインによるプロトコルで、ユーザのウェブ・ブラウザが「wpad」で始まるホスト名やドメイン名を探すことで、ユーザのネットワークにあるプロキシ・サーバを自動的に見つけることができる。しかし、この機能を使用していなかったり、まだWINSやDNSサーバで「wpad」ドメインやホスト名を登録してない場合は、ネットワーク内にいる攻撃者がユーザに代わって「wpad」の名称を登録することができるようになる。そうなった場合、WPADをサポートするブラウザ(IEやFirefoxなど)は、ユーザのウェブ・トラフィックを全て攻撃者のサーバに仕向けることが可能となるため、攻撃者はユーザのウェブ・トラフィックをすべて見ることができるようになる(これは、通信に介入して当事者に知られずに内容を操作するMitM攻撃と呼ばれている)。但し、この脆弱性を利用できるのはローカル攻撃者のみである。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-006 :
ウォッチガード・ユーザ:
攻撃者は、トラフィックがファイアウォールを迂回するようにした上でローカルで攻撃を仕掛けることができるため、パッチを適用することを強くすすめる。
ウォッチガードのFirebox製品の中には、ファイルの拡張子別にユーザが特定のコンテンツにアクセスできないようにするものもある。対策としては、Fireboxのプロキシ・サービスを使って.WMFや.EMFといったイメージファイルを遮断し、この問題によるリスクを一時的に緩和させる方法もある。但し、そうすることで正当な.WMFや.EMFの画像も阻止してしまうので注意が必要である。 こうした画像タイプをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で.WMFや.EMFといったファイル拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS09-006
マイクロソフトのセキュリティ情報:MS09-007
マイクロソフトのセキュリティ情報:MS09-008
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年3月10日
【概要】
対象:
最新版のWindows
攻撃方法:
悪質なウェブサイトにユーザを誘導するなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の3月10日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性について、セキュリティ情報3件をリリースした。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。
次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-006 Windowsカーネル脆弱性(3)
カーネルはオペレーティング・システム(OS)の中核にあたるコンポーネントで、ハードウェアとソフトウェア間のやり取りを管理する。マイクロソフトのセキュリティ情報によると、Windowsカーネルは3つの脆弱性の影響を受けており、その中でも悪質な欠陥は、モニタやプリンタにグラフィックを出力するためにWindowsが使うGDIのカーネル・コンポーネントに関与するという。 しかし、このGDI カーネル・コンポーネントは特定のグラフィック入力を適切な形で認証することができないため、攻撃者は加工した悪質のイメージ( .wmf や .emf)をユーザが閲覧するように誘導し(イメージが悪質なウェブサイトにホストされている可能性もある)、リモート攻撃者はこの脆弱性を悪用して「SYSTEM」特権を獲得した状態でユーザのコンピュータでコードを実行できるようになる。つまり、攻撃者はユーザのコンピュータを完全に操作できるようになる。その他のカーネル欠陥は権限昇格の脆弱性で、悪用するにはWindowsクレデンシャルとローカル・アクセスが必要になる。
マイクロソフトによる評価: 緊急
MS09-007 SChannel証明書の認証に見られるなりすまし問題
Windows コンポーネントのSChannelはSSLプロトコルや、その後継となったTLSプロトコルを実施するために使用される。例えば、ウェブ・ブラウザはこうしたプロトコルを使用して安全なウェブサイトへの接続を確立しているなど、多くのネットワーク・クライアントは、こういったプロトコルを使って、インターネットで安全性のある接続を構築している。このプロトコルは、ユーザがパブリック・キーやプライベート・キーを使って安全なサーバに認証するなど、証明書ベースの認証もサポートしている(PKIの詳細情報)。
しかし、SChannel はパブリック・キーやプライベート・キーの関係を適切に実行することができない。通常、ウェブ・ブラウザが証明書のパブリック・キー・コンポーネントを使って安全なウェブサイトに認証する場合、そのパブリック・キーに対応する正確なプライベート・キーにアクセスできることを確認するようにもなっているのだが、SChannelはこのパブリック・キーとプライベート・キーの関係を適切に認証することができない。その結果、攻撃者がユーザのパブリック・キーのアクセスのみを獲得した場合、攻撃者はそれを使ってユーザになりすまし、安全なサーバにて信頼されるに値することを証明できる。このため、攻撃者がこの攻撃を実行するにあたりユーザのプライベート・キーは必要ない。その名のように、パブリック・キーは広範囲に渡って分布されることはないが、攻撃者がユーザのパブリック・キーを入手するにはユーザのネットワークでパケット・スニフィングを行ったり、加工したサイトにユーザを誘導しなければならない。しかし、それでもプライベート・キーよりもパブリック・キーの方が入手しやすいといえる。、また、プライベート・キーを認証しないということは、パブリック・キーの暗号法が提供するセキュリティを無効にしていることにもなる。
マイクロソフトによる評価: 重要
MS09-008 4つの Windows DNSとWINS Serverの脆弱性
Windows サーバ版に搭載されているDNSと WINSサーバは、4つのセキュリティ脆弱性の影響を受けている。 まずDNSサーバは、攻撃者が次のDNS トランザクション用IDを予想できるチャンスを高めるプログラミング関連の問題に関与するDNS キャッシュ・ポイズニング脆弱性(2)の影響を受けている。この欠陥は、昨年ダン・カミンスキー氏が解説したメジャーなDNS欠陥に似ている。カミンスキー氏によるこの欠陥の報告書について、またはDNS トランザクション用IDをうまく予想することができることからDNSキャッシュ・ポイズニング攻撃に繋がる詳細について知りたい場合は、ライブセキュリティの DNSアラート 「プロトコル問題の影響を受けているDNSサーバー」 / アップデート記事]や、2008年7月のラジオ・フリー・セキュリティのエピソードを参照にすることをすすめる。
また、DNSおよび WINS サーバはマイクロソフトがWPADと呼んでいる登録機能に関与する脆弱性の影響も受けている。WPADはマイクロソフトのデザインによるプロトコルで、ユーザのウェブ・ブラウザが「wpad」で始まるホスト名やドメイン名を探すことで、ユーザのネットワークにあるプロキシ・サーバを自動的に見つけることができる。しかし、この機能を使用していなかったり、まだWINSやDNSサーバで「wpad」ドメインやホスト名を登録してない場合は、ネットワーク内にいる攻撃者がユーザに代わって「wpad」の名称を登録することができるようになる。そうなった場合、WPADをサポートするブラウザ(IEやFirefoxなど)は、ユーザのウェブ・トラフィックを全て攻撃者のサーバに仕向けることが可能となるため、攻撃者はユーザのウェブ・トラフィックをすべて見ることができるようになる(これは、通信に介入して当事者に知られずに内容を操作するMitM攻撃と呼ばれている)。但し、この脆弱性を利用できるのはローカル攻撃者のみである。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-006 :
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS09-007 :
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
- Windows 2000対象
- Windows Server 2003対象
- Windows Server 2003 x64対象
- Windows Server 2003 Itanium対象
- Windows Server 2008対象
- Windows Server 2008 x64対象
ウォッチガード・ユーザ:
攻撃者は、トラフィックがファイアウォールを迂回するようにした上でローカルで攻撃を仕掛けることができるため、パッチを適用することを強くすすめる。
ウォッチガードのFirebox製品の中には、ファイルの拡張子別にユーザが特定のコンテンツにアクセスできないようにするものもある。対策としては、Fireboxのプロキシ・サービスを使って.WMFや.EMFといったイメージファイルを遮断し、この問題によるリスクを一時的に緩和させる方法もある。但し、そうすることで正当な.WMFや.EMFの画像も阻止してしまうので注意が必要である。 こうした画像タイプをブロックしたい場合は、Fireboxプロキシのコンテンツ・ブロック機能で.WMFや.EMFといったファイル拡張子を設定すること。手順詳細については次のビデオを参照することを勧める(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS09-006
マイクロソフトのセキュリティ情報:MS09-007
マイクロソフトのセキュリティ情報:MS09-008
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。