AD欠陥も含むWindows脆弱性7件 2008年10月14日
AD欠陥も含むWindows脆弱性7件
危険度:高
2008年10月14日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したネットワーク・トラフィックを送信するなど様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の10月14日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報7件をリリースした。各脆弱性の影響はそれを受けているWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる場合もある。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS08-060:
Windows 2000 Active Directory (AD)のバッファ・オーバーフロー問題
Active Directory(AD)はシステムにログインするユーザのクレデンシャルを確認するためにWindowsが使用する認証コンポーネントだが、Windows 2000に搭載されているADコンポーネントはバッファ・オーバーフロー問題の影響を受けている。攻撃者は、細工したLDAPや LDAP over SSL(LDAPS)リクエストを送信することでこの脆弱性を悪用し、ユーザのWindowsドメインコントローラを完全に操作できるようになる。このように攻撃者が重要度の高いサーバを操作できるようになると、ネットワークを大きく支配することが可能になる。しかし、大方の管理者はLDAP(ポート389)やLDAPS(ポート636)リクエストをファイアウォールで許可していないため、攻撃者がこのセキュリティホールを悪用するには大抵の場合ユーザのネットワーク内部から攻撃を仕掛けなければならない。
マイクロソフトによる評価:緊急
MS08-063:
SMBバッファ・オーバーフロー問題
Server Message Block(SMB)はネットワーク・ファイル共有にWindowsが使うプロトコルだが、マイクロソフトは、細工されたファイル名を処理できないことに関与するバッファ・オーバーフローの影響をSMBが受けていると述べている。攻撃者は細工したSMBパケットを送信することでこの脆弱性を悪用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかしWindowsのクレデンシャルを持つ認証済みユーザのみがこの脆弱性を悪用することができるため、この欠陥は主に内部脅威の対象となる。
マイクロソフトによる評価:重要
MS08-065:
メッセージ・キューの脆弱性によるリモートからのコード実行
マイクロソフトのメッセージ・キュー・サービス(MSMQ)は、非同期で実行しているアプリケーションが相互でネットワーク通信することを可能にする技術だが、このMSMQサービスはRPC(リモート・プロシージャ・コール)リクエストを解析する方法に関与するセキュリティ脆弱性の影響を受けている。攻撃者は細工したRPCリクエストを送信することでこの脆弱性を悪用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかしWindowsはデフォルトでMSMQを有効にしていないため欠陥の深刻度は大幅に低下するうえに、この欠陥は Windows 2000のみに影響している。
マイクロソフトによる評価:重要
MS08-062:
インターネット印刷サーバの脆弱性によるリモートからのコード実行
ISAPIの延長であるIPP(インターネット・プリンティング・プロトコル)は、IIS(インターネット・インフォメーション・サービス)を実行している多くのWindowsサーバで標準で有効にされているが、このプロトコルは未特定の整数のオーバーフロー脆弱性の影響を受けている。攻撃者は細工したHTTP POSTリクエストを送信し、脆弱なIISウェブ・サーバが、IPP準拠しているプリンタを装う悪性のコンピュータに接続するように仕掛ける。そうすると、この悪性のコンピュータは細工したIPP応答を脆弱なIISサーバに送信し、IPP整数のオーバーフロー脆弱性を悪用する。攻撃者はこの整数のオーバーフロー問題を利用し、ログインしたユーザの権限を備えた状態でIISウェブ・サーバでコードを実行することができる。また、ユーザに管理者の権限が与えられていた場合、攻撃者はユーザのIISサーバを完全に操作することが可能になる。とはいっても、この脆弱性を悪用することができるのはWindowsの有効なクレデンシャルを持つ認証済みユーザのみであるため、この問題は主に内部脅威の対象となる。しかし最新版のWindowsサーバは標準でIPPを有効にしていないので、その場合は内部においてもこの欠陥に対して脆弱ではない。
マイクロソフトによる評価:重要
MS08-061:
カーネルの脆弱性に起因する権限の昇格3件
カーネルはオペレーティング・システム(OS)の中核にあたるコンポーネントだが、マイクロソフトによるとWindowsカーネルは権限の昇格問題3件の影響を受けているという。3件の欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者がユーザのWindowsにログインすることに成功すると、細工したプログラムを実行することができ3件の脆弱性いづれかを悪用してそのマシンを完全に操作できるようになる。勿論、攻撃者がユーザのマシンにログインするにはウィンドウズの有効なクレデンシャルが必要となるため、この脆弱性の危険度は低く主に内部脅威の対象となる。
マイクロソフトによる評価:重要
MS08-066:
Ancillary Functionドライバーの脆弱性に起因する権限の昇格
Ancillary Function Driver(AFD)は、winsock(Windows Socket API)をサポートするためにWindowsがインストールするコンポーネントの1つだが、AFDは先に説明した脆弱性に似た権限の昇格問題の影響を受けている。攻撃者がWindowsマシンにログインして細工したプログラムを実行した場合、攻撃者はこの欠陥を悪用してそのマシンを完全に操作できるようになる。先と同様に、攻撃者がこの脆弱性を悪用するにはWindowsの有効なクレデンシャルが必要となるため、これは主に内部脅威向きである。
マイクロソフトによる評価:重要
MS08-064:
仮想アドレス記述子の脆弱性に起因する権限の昇格
マイクロソフトによると、仮想アドレス記述子(VAD)は各アプリケーションが独自のプライベート・アドレスのスペースを確保できるようにする仮想メモリの一種であるという。ところが、VADを処理するメモリ・マネジャー・コンポーネントが整数のオーバーフロー欠陥の影響を受けており、前述の欠陥2件と同様に攻撃者がユーザのWindowsマシンにログインして細工したプログラムを実行した場合、攻撃者はこの整数のオーバーフロー問題を悪用して権限を昇格させ、そのマシンを完全に操作することができる。しかし、この脆弱性を悪用するにもWindowsの有効なクレデンシャルが必要であるため、これも主に内部脅威向きである。
マイクロソフトによる評価:重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
MS08-060: 注意:この脆弱性はWindows 2000 サーバのみに影響する
MS08-063:
MS08-062:
MS08-064:
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、このような脆弱性が提示するリスクをデフォルト設定で軽減させている。例えば、Fireboxは上述のActiveDirectoryやSMB、Message Queuing 攻撃などを開始するために必要なポートをデフォルトでブロックしている。しかし攻撃者はトラフィックがファイアウォールを通過することなく、こうした攻撃をローカルで悪用することができるため、パッチを適用することを強くすすめる。
【ステータス】
マイクロソフトはこうした問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
危険度:高
2008年10月14日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したネットワーク・トラフィックを送信するなど様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の10月14日、マイクロソフトはWindowsやそれに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報7件をリリースした。各脆弱性の影響はそれを受けているWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる場合もある。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS08-060:
Windows 2000 Active Directory (AD)のバッファ・オーバーフロー問題
Active Directory(AD)はシステムにログインするユーザのクレデンシャルを確認するためにWindowsが使用する認証コンポーネントだが、Windows 2000に搭載されているADコンポーネントはバッファ・オーバーフロー問題の影響を受けている。攻撃者は、細工したLDAPや LDAP over SSL(LDAPS)リクエストを送信することでこの脆弱性を悪用し、ユーザのWindowsドメインコントローラを完全に操作できるようになる。このように攻撃者が重要度の高いサーバを操作できるようになると、ネットワークを大きく支配することが可能になる。しかし、大方の管理者はLDAP(ポート389)やLDAPS(ポート636)リクエストをファイアウォールで許可していないため、攻撃者がこのセキュリティホールを悪用するには大抵の場合ユーザのネットワーク内部から攻撃を仕掛けなければならない。
マイクロソフトによる評価:緊急
MS08-063:
SMBバッファ・オーバーフロー問題
Server Message Block(SMB)はネットワーク・ファイル共有にWindowsが使うプロトコルだが、マイクロソフトは、細工されたファイル名を処理できないことに関与するバッファ・オーバーフローの影響をSMBが受けていると述べている。攻撃者は細工したSMBパケットを送信することでこの脆弱性を悪用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかしWindowsのクレデンシャルを持つ認証済みユーザのみがこの脆弱性を悪用することができるため、この欠陥は主に内部脅威の対象となる。
マイクロソフトによる評価:重要
MS08-065:
メッセージ・キューの脆弱性によるリモートからのコード実行
マイクロソフトのメッセージ・キュー・サービス(MSMQ)は、非同期で実行しているアプリケーションが相互でネットワーク通信することを可能にする技術だが、このMSMQサービスはRPC(リモート・プロシージャ・コール)リクエストを解析する方法に関与するセキュリティ脆弱性の影響を受けている。攻撃者は細工したRPCリクエストを送信することでこの脆弱性を悪用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかしWindowsはデフォルトでMSMQを有効にしていないため欠陥の深刻度は大幅に低下するうえに、この欠陥は Windows 2000のみに影響している。
マイクロソフトによる評価:重要
MS08-062:
インターネット印刷サーバの脆弱性によるリモートからのコード実行
ISAPIの延長であるIPP(インターネット・プリンティング・プロトコル)は、IIS(インターネット・インフォメーション・サービス)を実行している多くのWindowsサーバで標準で有効にされているが、このプロトコルは未特定の整数のオーバーフロー脆弱性の影響を受けている。攻撃者は細工したHTTP POSTリクエストを送信し、脆弱なIISウェブ・サーバが、IPP準拠しているプリンタを装う悪性のコンピュータに接続するように仕掛ける。そうすると、この悪性のコンピュータは細工したIPP応答を脆弱なIISサーバに送信し、IPP整数のオーバーフロー脆弱性を悪用する。攻撃者はこの整数のオーバーフロー問題を利用し、ログインしたユーザの権限を備えた状態でIISウェブ・サーバでコードを実行することができる。また、ユーザに管理者の権限が与えられていた場合、攻撃者はユーザのIISサーバを完全に操作することが可能になる。とはいっても、この脆弱性を悪用することができるのはWindowsの有効なクレデンシャルを持つ認証済みユーザのみであるため、この問題は主に内部脅威の対象となる。しかし最新版のWindowsサーバは標準でIPPを有効にしていないので、その場合は内部においてもこの欠陥に対して脆弱ではない。
マイクロソフトによる評価:重要
MS08-061:
カーネルの脆弱性に起因する権限の昇格3件
カーネルはオペレーティング・システム(OS)の中核にあたるコンポーネントだが、マイクロソフトによるとWindowsカーネルは権限の昇格問題3件の影響を受けているという。3件の欠陥はそれぞれ技術的には異なるが、その行動範囲と影響は同じである。攻撃者がユーザのWindowsにログインすることに成功すると、細工したプログラムを実行することができ3件の脆弱性いづれかを悪用してそのマシンを完全に操作できるようになる。勿論、攻撃者がユーザのマシンにログインするにはウィンドウズの有効なクレデンシャルが必要となるため、この脆弱性の危険度は低く主に内部脅威の対象となる。
マイクロソフトによる評価:重要
MS08-066:
Ancillary Functionドライバーの脆弱性に起因する権限の昇格
Ancillary Function Driver(AFD)は、winsock(Windows Socket API)をサポートするためにWindowsがインストールするコンポーネントの1つだが、AFDは先に説明した脆弱性に似た権限の昇格問題の影響を受けている。攻撃者がWindowsマシンにログインして細工したプログラムを実行した場合、攻撃者はこの欠陥を悪用してそのマシンを完全に操作できるようになる。先と同様に、攻撃者がこの脆弱性を悪用するにはWindowsの有効なクレデンシャルが必要となるため、これは主に内部脅威向きである。
マイクロソフトによる評価:重要
MS08-064:
仮想アドレス記述子の脆弱性に起因する権限の昇格
マイクロソフトによると、仮想アドレス記述子(VAD)は各アプリケーションが独自のプライベート・アドレスのスペースを確保できるようにする仮想メモリの一種であるという。ところが、VADを処理するメモリ・マネジャー・コンポーネントが整数のオーバーフロー欠陥の影響を受けており、前述の欠陥2件と同様に攻撃者がユーザのWindowsマシンにログインして細工したプログラムを実行した場合、攻撃者はこの整数のオーバーフロー問題を悪用して権限を昇格させ、そのマシンを完全に操作することができる。しかし、この脆弱性を悪用するにもWindowsの有効なクレデンシャルが必要であるため、これも主に内部脅威向きである。
マイクロソフトによる評価:重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックすること。
MS08-060: 注意:この脆弱性はWindows 2000 サーバのみに影響する
MS08-063:
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS08-062:
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
MS08-064:
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、このような脆弱性が提示するリスクをデフォルト設定で軽減させている。例えば、Fireboxは上述のActiveDirectoryやSMB、Message Queuing 攻撃などを開始するために必要なポートをデフォルトでブロックしている。しかし攻撃者はトラフィックがファイアウォールを通過することなく、こうした攻撃をローカルで悪用することができるため、パッチを適用することを強くすすめる。
【ステータス】
マイクロソフトはこうした問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:一覧
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。