Active Directory、Print Spooler、Windows Searchに影響する脆弱性 2009年6月9日
Windows セキュリティ情報5件の2件は深刻
Active Directory、Print Spooler、Windows Searchに影響する脆弱性
危険度:高
2009年6月9日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したLDAP やRPC パケットを送信するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の6月9日、マイクロソフトはWindowsと、それに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報11件をリリースした。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-018
Active Directoryの脆弱性(2)
Active Directory (AD)は、ユーザ・ディレクトリ・サービスのLDAPを管理するWindows のコンポーネントだが、そのADは2つのセキュリティ問題の影響を受けている。この脆弱性は、細工されたLDAPやLDAPS リクエストを受信した場合のADのメモリ処理に関与している。リモート攻撃者は、そうしたリクエストを送信することで中でも悪質な脆弱性を悪用し、ユーザのWindowsシステムを完全に操作することができるようになる。しかし、大方の管理者はAD が使用するポート(TCP ポート389、636、3268、3269)をファイアウォールでブロックしているため、特にそうしたポートをファイアウォールで許可しているようにしていなければ脆弱性は主に内部脅威となる。
マイクロソフトによる評価:緊急
MS09-022
Print Spoolerの脆弱性(3)
Windows Print Spoolerは印刷処理を管理するサービスだが、マイクロソフトはそのPrint Spoolerが3つの脆弱性の影響を受けていると警告している。中でも深刻な問題は、特定のプリントデータの仕組みを解析するPrint Spoolerの方法がバッファ・オーバーフローの脆弱性に関与しているものだ。悪性のプリント・サーバをネットワークに設定し、そのサーバを使って細工したRPCリクエストを攻撃者が送信した場合、このバッファ・オーバーフローの脆弱性を悪用することにより、ユーザのWindows コンピュータを完全に操作することが可能になる。その他のPrint Spoolerの欠陥(2)には、情報開示問題や権限昇格の問題などがある。大方の管理者は内部でのみRPC 接続を許可しているため、こうした欠陥は主に内部脅威と見られる。
マイクロソフトによる評価:緊急
MS09-026
RPC マーシャリング・エンジンの問題
RPC マーシャリング・エンジン(別名NDR)は、RPCコミュニケーションに対処するWindows コンポーネントの1つだが、このエンジンは細工されたRPCメッセージ処理に関与する複雑な脆弱性の影響を受けている。攻撃者は細工したメッセージを送信することで脆弱性を悪用、ユーザのWindowsでシステム権限を完全に獲得した状態でコードを実行することができるが、特定のタイプのRPCアプリケーションのみが、この欠陥に対し脆弱である。さらに、大方の管理者はRPCトラフィック(TCP 、UDPの ポート135 と445)をファイアウォールで許可していないため、外部からの攻撃者を阻止することができる。
マイクロソフトによる評価:重要
MS09-025
Windows カーネル権限昇格の問題(4)
Windows カーネルは4つの権限昇格(EoP)の問題の影響を受けている。欠陥はそれぞれ技術的に異なるが、その行動範囲と影響は同様である。細工したプログラムをユーザのWindowsで実行することで、それまでのユーザ権限にかかわらず攻撃者はそのシステムを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行するには被害者のコンピュータでローカル・アクセス権が必要となるため、この脆弱性は主に内部攻撃対象となる。
マイクロソフトによる評価:重要
MS09-023
Windows Search 情報開示の問題
Windows Search のコンポーネントは、Windowsのインスタントサーチ機能のいくつかを提供することでユーザがファイルやメール、データなどを素早く探せるようになっている。しかし、マイクロソフトによるとWindows SearchはHTML スクリプトを実行する環境を適切に制限しておらず、そのため攻撃者がユーザのコンピュータにhtml スクリプトを入れると、ユーザの検索結果として特定のスクリプト・ファイルが出るように仕向けることができるという。攻撃者はこの脆弱性を悪用し、権限昇格を行った状態でスクリプトを実行できる。つまり、そのスクリプトでユーザが利用できるシステムのあらゆるデータに攻撃者がアクセスすることが可能になる。しかし、脆弱性の悪用を成功させるにはユーザとのインタラクションがかなり必要であり、その点が問題の危険性を緩和させている。
マイクロソフトによる評価:中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-018
MS09-022
MS09-026
MS09-025
MS09-023
ウォッチガード・ユーザ:
ウォッチガードのFirebox は標準設定により、こうした脆弱性を悪用するために必要なポートをブロックしリスクを軽減させている。しかし、Fireboxがこうした攻撃を内部ユーザが悪用できないようにすることはできないため、対策としてはマイクロソフトが提供しているパッチを使用することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
Active Directory、Print Spooler、Windows Searchに影響する脆弱性
危険度:高
2009年6月9日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したLDAP やRPC パケットを送信するなど、様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の6月9日、マイクロソフトはWindowsと、それに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報11件をリリースした。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS09-018
Active Directoryの脆弱性(2)
Active Directory (AD)は、ユーザ・ディレクトリ・サービスのLDAPを管理するWindows のコンポーネントだが、そのADは2つのセキュリティ問題の影響を受けている。この脆弱性は、細工されたLDAPやLDAPS リクエストを受信した場合のADのメモリ処理に関与している。リモート攻撃者は、そうしたリクエストを送信することで中でも悪質な脆弱性を悪用し、ユーザのWindowsシステムを完全に操作することができるようになる。しかし、大方の管理者はAD が使用するポート(TCP ポート389、636、3268、3269)をファイアウォールでブロックしているため、特にそうしたポートをファイアウォールで許可しているようにしていなければ脆弱性は主に内部脅威となる。
マイクロソフトによる評価:緊急
MS09-022
Print Spoolerの脆弱性(3)
Windows Print Spoolerは印刷処理を管理するサービスだが、マイクロソフトはそのPrint Spoolerが3つの脆弱性の影響を受けていると警告している。中でも深刻な問題は、特定のプリントデータの仕組みを解析するPrint Spoolerの方法がバッファ・オーバーフローの脆弱性に関与しているものだ。悪性のプリント・サーバをネットワークに設定し、そのサーバを使って細工したRPCリクエストを攻撃者が送信した場合、このバッファ・オーバーフローの脆弱性を悪用することにより、ユーザのWindows コンピュータを完全に操作することが可能になる。その他のPrint Spoolerの欠陥(2)には、情報開示問題や権限昇格の問題などがある。大方の管理者は内部でのみRPC 接続を許可しているため、こうした欠陥は主に内部脅威と見られる。
マイクロソフトによる評価:緊急
MS09-026
RPC マーシャリング・エンジンの問題
RPC マーシャリング・エンジン(別名NDR)は、RPCコミュニケーションに対処するWindows コンポーネントの1つだが、このエンジンは細工されたRPCメッセージ処理に関与する複雑な脆弱性の影響を受けている。攻撃者は細工したメッセージを送信することで脆弱性を悪用、ユーザのWindowsでシステム権限を完全に獲得した状態でコードを実行することができるが、特定のタイプのRPCアプリケーションのみが、この欠陥に対し脆弱である。さらに、大方の管理者はRPCトラフィック(TCP 、UDPの ポート135 と445)をファイアウォールで許可していないため、外部からの攻撃者を阻止することができる。
マイクロソフトによる評価:重要
MS09-025
Windows カーネル権限昇格の問題(4)
Windows カーネルは4つの権限昇格(EoP)の問題の影響を受けている。欠陥はそれぞれ技術的に異なるが、その行動範囲と影響は同様である。細工したプログラムをユーザのWindowsで実行することで、それまでのユーザ権限にかかわらず攻撃者はそのシステムを完全に操作できるようになる。しかし、攻撃者が悪質なプログラムを実行するには被害者のコンピュータでローカル・アクセス権が必要となるため、この脆弱性は主に内部攻撃対象となる。
マイクロソフトによる評価:重要
MS09-023
Windows Search 情報開示の問題
Windows Search のコンポーネントは、Windowsのインスタントサーチ機能のいくつかを提供することでユーザがファイルやメール、データなどを素早く探せるようになっている。しかし、マイクロソフトによるとWindows SearchはHTML スクリプトを実行する環境を適切に制限しておらず、そのため攻撃者がユーザのコンピュータにhtml スクリプトを入れると、ユーザの検索結果として特定のスクリプト・ファイルが出るように仕向けることができるという。攻撃者はこの脆弱性を悪用し、権限昇格を行った状態でスクリプトを実行できる。つまり、そのスクリプトでユーザが利用できるシステムのあらゆるデータに攻撃者がアクセスすることが可能になる。しかし、脆弱性の悪用を成功させるにはユーザとのインタラクションがかなり必要であり、その点が問題の危険性を緩和させている。
マイクロソフトによる評価:中
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-018
- Active Directory Windows 2000対象
- Active Directory Application Mode (ADAM) Windows XP対象
- Active Directory Application Mode (ADAM) Windows XP x64対象
- Active Directory Windows Server 2003対象
- Active Directory Application Mode (ADAM) Windows Server 2003対象
- Active Directory Windows Server 2003 x64対象
- Active Directory Application Mode (ADAM) Windows Server 2003 x64対象
- Active Directory Windows Server 2003 Itanium対象
MS09-022
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS09-026
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS09-025
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS09-023
- Windows Search 4.0 Windows XP対象
- Windows Search 4.0 for Windows XP x64対象
- Windows Search 4.0 for Windows Server 2003対象
- Windows Search 4.0 for Windows Server 2003 x64対象
ウォッチガード・ユーザ:
ウォッチガードのFirebox は標準設定により、こうした脆弱性を悪用するために必要なポートをブロックしリスクを軽減させている。しかし、Fireboxがこうした攻撃を内部ユーザが悪用できないようにすることはできないため、対策としてはマイクロソフトが提供しているパッチを使用することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
- マイクロソフトのセキュリティ情報:MS09-018
- マイクロソフトのセキュリティ情報:MS09-022
- マイクロソフトのセキュリティ情報:MS09-023
- マイクロソフトのセキュリティ情報:MS09-025
- マイクロソフトのセキュリティ情報:MS09-026
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。