攻撃者がHPのActiveX問題を悪用してHPコンピューターを操る 2008年6月5日
攻撃者がHPのActiveX問題を悪用してHPコンピューターを操る
危険度:高
2008年6月5日
【概要】
・対象:
Windowsを搭載しているヒューレット・パッカードのデスクトップおよびノートPC
・悪用方法:
ドライブバイ・ダウンロードが発生する悪性のウェブサイトにユーザーを誘導する。
・影響:
攻撃者はユーザーのコンピューターを完全に操ることが可能。
・対策:
脆弱なActiveXコントロールにkill bitを設定するかHPインスタント・サポート・ソフトウェアをバージョン1.0.0.24にアップデートすること。
【詳細】
ヒューレット・パッカード(略してHP)は、世界でも最大規模のPCディーラーで何百万台ものデスクトップやノートPCを販売している。業界の観測筋によると、HPはPC市場のおよそ20パーセントを占めているという。ネットワーク内のユーザーは、おそらくどこかのHPコンピューターと定期的に接している機会が少なくないだろう。ネットワークでHPコンピューターを使用していない場合は、このセキュリティ・アラートには特に関係がないと見ていいだろう。
米国時間の6月4日、デンマークのセキュリティ会社CSISの研究員であるデニス・ランドは、HPコンピューターにインストールされているActiveXのバージョンに存在する複数の重要なセキュリティ問題について発表した。HPのActiveXバージョンは、ユーザーのコンピューターが自動的にHPのインスタント・サポート・サービスに接続し、HPソフトウェア、BIOS、Windowsドライバーなどのアップデートをチェックするプラグインを含むユニークなものである。また、ユーザーが広範囲に渡るHP製品のソフトウェア・アップデートをチェックするためにHPのウェブページに行くと、このActiveXプラグインをインストールすることになる。つまり、よく管理されているHPコンピューターには、おそらく脆弱なソフトウェアが入っているということになる。HPのインスタント・サポートを使用していない場合でも、この脆弱性が悪用される恐れがあることに注意しよう。
攻撃者がユーザーのコンピューターを操るためにHPのActiveX問題を悪用する8つの方法についてCSISのランドは(PDF)で説明している。大方の問題が深刻であるため、攻撃者は被害者側とのインタラクションをさほど必要とせずに攻撃を仕掛けることができる。攻撃者が悪性のウェブページに被害者を誘導すると、被害者がそのページにやってくると同時に脆弱性は悪用されるため被害者にページ上の何かをクリックさせる必要もない(この攻撃はドライブバイ・ダウンロードという。詳しくはライブセキュリティのビデオを参照:『ドライブ・バイ・ダウンロード』 日本語字幕)。HPのActiveXにおける脆弱な機能は次の通り。
・AppendStringToFile
・ExtractCab
・GetFileTime
・MoveFile
・RegistryString
・DownloadFile
・StartApp
・DeleteSingleFile
これにはバッファ・オーバーフロー問題、攻撃者による任意コードの実行問題、ユーザーのようにファイルを書き込むなど様々な脆弱性がある。危険性のレベル1からレベル10の間でレベル10を重要性のもっとも高いものとして見た場合、この脆弱性はほとんどが少なくともレベル9である。また、攻撃者はSQL挿入やHTML挿入といったテクニックを使って、こうした脆弱性を悪用する可能性もある。
ちなみに、HPが自社製品に危険な欠陥をインストールしたのはこれが始めてのことではない。2007年暮れにライブセキュリティの『WatchGuard Wire』では、82種類のHPノートPCモデルにインストールされた「Quick Launch Buttonソフト」の脆弱性について注意を呼び掛けたことがある。
【対策】
問題のソフトウェアが解決の一部でもある。というのは、HPはバージョン1.0.0.22またはそれ以前のバージョンを使用している場合、インスタント・サポート・ソフトウェアをアップデートするように促している。HPインスタント・サポート・バージョン1.0.0.24や、それ以降のバージョンをインストールするには[Instant Support Professional edition]サイトに行き、オンライン診断セッションを受ければいい。デニス・ランドとのやり取りによると、これは自動的にパッチを適用しないのでアップデートをリクエストするには手動で行わなければならないという。
インスタント・サポートを使用しない場合や、それを使う予定がない場合の別の手段としては、脆弱なHPソフトウェアを改変しそれが実行できないようにする方法もある。その場合はkill bit を14C1B87C-3342-445F-9B5E-365FF330A3ACのClass Identifier (CLSID)があるActiveXコントロールに設定することに関連する。詳細については、HPのサポート・ドキュメントやマイクロソフトのナレッジ・ベース記事『How to stop an ActiveX control from running in Internet Explorer』などを相互参照するといいだろう。
全ユーザー:
HPのActiveXに存在するセキュリティ欠陥の重大性と、ウェブ・セッション(悪性のウェブサイトからの攻撃コードは理論的にはユーザーがリクエストしたデータと同じであり、外部から仕掛けられた攻撃を抑えるチェックポイントをデータが通過できるようにする)の特性を考慮した場合、このアラートの【対策】欄で提案した方法のいづれかを講じることが安全策となるだろう。このセキュリティ問題の危険性は重度であり、実際に可能であることを示すデモ・コードも一般に流れている。このため攻撃者はコードに高度なテクニックを加える必要もないので、すぐにこの欠陥が一般で悪用されるようになるだろう。このため、できる限り早急にこの問題に対応することを強く勧める。
【ステータス】
ヒューレット・パッカードはこの問題を修正する[インスタント・サポート1.0.0.24]をリリースしている。
【参考資料】
・CSIS セキュリティ・リサーチ・アンド・インテリジェンスによるアドバイザリー(PDF英語)
・ヒューレット・パッカードによるサポート・ドキュメントHPSBMA02326 (英語)
・ヒューレット・パッカードの日本語サイト
・マイクロソフトのナレッジ・ベース記事『How to stop an ActiveX control from running in Internet Explorer』(英語)
この記事はスコット・ピンゾン(Scott Pinzon, CISSP)により調査され書かれた記事です。
危険度:高
2008年6月5日
【概要】
・対象:
Windowsを搭載しているヒューレット・パッカードのデスクトップおよびノートPC
・悪用方法:
ドライブバイ・ダウンロードが発生する悪性のウェブサイトにユーザーを誘導する。
・影響:
攻撃者はユーザーのコンピューターを完全に操ることが可能。
・対策:
脆弱なActiveXコントロールにkill bitを設定するかHPインスタント・サポート・ソフトウェアをバージョン1.0.0.24にアップデートすること。
【詳細】
ヒューレット・パッカード(略してHP)は、世界でも最大規模のPCディーラーで何百万台ものデスクトップやノートPCを販売している。業界の観測筋によると、HPはPC市場のおよそ20パーセントを占めているという。ネットワーク内のユーザーは、おそらくどこかのHPコンピューターと定期的に接している機会が少なくないだろう。ネットワークでHPコンピューターを使用していない場合は、このセキュリティ・アラートには特に関係がないと見ていいだろう。
米国時間の6月4日、デンマークのセキュリティ会社CSISの研究員であるデニス・ランドは、HPコンピューターにインストールされているActiveXのバージョンに存在する複数の重要なセキュリティ問題について発表した。HPのActiveXバージョンは、ユーザーのコンピューターが自動的にHPのインスタント・サポート・サービスに接続し、HPソフトウェア、BIOS、Windowsドライバーなどのアップデートをチェックするプラグインを含むユニークなものである。また、ユーザーが広範囲に渡るHP製品のソフトウェア・アップデートをチェックするためにHPのウェブページに行くと、このActiveXプラグインをインストールすることになる。つまり、よく管理されているHPコンピューターには、おそらく脆弱なソフトウェアが入っているということになる。HPのインスタント・サポートを使用していない場合でも、この脆弱性が悪用される恐れがあることに注意しよう。
攻撃者がユーザーのコンピューターを操るためにHPのActiveX問題を悪用する8つの方法についてCSISのランドは(PDF)で説明している。大方の問題が深刻であるため、攻撃者は被害者側とのインタラクションをさほど必要とせずに攻撃を仕掛けることができる。攻撃者が悪性のウェブページに被害者を誘導すると、被害者がそのページにやってくると同時に脆弱性は悪用されるため被害者にページ上の何かをクリックさせる必要もない(この攻撃はドライブバイ・ダウンロードという。詳しくはライブセキュリティのビデオを参照:『ドライブ・バイ・ダウンロード』 日本語字幕)。HPのActiveXにおける脆弱な機能は次の通り。
・AppendStringToFile
・ExtractCab
・GetFileTime
・MoveFile
・RegistryString
・DownloadFile
・StartApp
・DeleteSingleFile
これにはバッファ・オーバーフロー問題、攻撃者による任意コードの実行問題、ユーザーのようにファイルを書き込むなど様々な脆弱性がある。危険性のレベル1からレベル10の間でレベル10を重要性のもっとも高いものとして見た場合、この脆弱性はほとんどが少なくともレベル9である。また、攻撃者はSQL挿入やHTML挿入といったテクニックを使って、こうした脆弱性を悪用する可能性もある。
ちなみに、HPが自社製品に危険な欠陥をインストールしたのはこれが始めてのことではない。2007年暮れにライブセキュリティの『WatchGuard Wire』では、82種類のHPノートPCモデルにインストールされた「Quick Launch Buttonソフト」の脆弱性について注意を呼び掛けたことがある。
【対策】
問題のソフトウェアが解決の一部でもある。というのは、HPはバージョン1.0.0.22またはそれ以前のバージョンを使用している場合、インスタント・サポート・ソフトウェアをアップデートするように促している。HPインスタント・サポート・バージョン1.0.0.24や、それ以降のバージョンをインストールするには[Instant Support Professional edition]サイトに行き、オンライン診断セッションを受ければいい。デニス・ランドとのやり取りによると、これは自動的にパッチを適用しないのでアップデートをリクエストするには手動で行わなければならないという。
インスタント・サポートを使用しない場合や、それを使う予定がない場合の別の手段としては、脆弱なHPソフトウェアを改変しそれが実行できないようにする方法もある。その場合はkill bit を14C1B87C-3342-445F-9B5E-365FF330A3ACのClass Identifier (CLSID)があるActiveXコントロールに設定することに関連する。詳細については、HPのサポート・ドキュメントやマイクロソフトのナレッジ・ベース記事『How to stop an ActiveX control from running in Internet Explorer』などを相互参照するといいだろう。
全ユーザー:
HPのActiveXに存在するセキュリティ欠陥の重大性と、ウェブ・セッション(悪性のウェブサイトからの攻撃コードは理論的にはユーザーがリクエストしたデータと同じであり、外部から仕掛けられた攻撃を抑えるチェックポイントをデータが通過できるようにする)の特性を考慮した場合、このアラートの【対策】欄で提案した方法のいづれかを講じることが安全策となるだろう。このセキュリティ問題の危険性は重度であり、実際に可能であることを示すデモ・コードも一般に流れている。このため攻撃者はコードに高度なテクニックを加える必要もないので、すぐにこの欠陥が一般で悪用されるようになるだろう。このため、できる限り早急にこの問題に対応することを強く勧める。
【ステータス】
ヒューレット・パッカードはこの問題を修正する[インスタント・サポート1.0.0.24]をリリースしている。
【参考資料】
・CSIS セキュリティ・リサーチ・アンド・インテリジェンスによるアドバイザリー(PDF英語)
・ヒューレット・パッカードによるサポート・ドキュメントHPSBMA02326 (英語)
・ヒューレット・パッカードの日本語サイト
・マイクロソフトのナレッジ・ベース記事『How to stop an ActiveX control from running in Internet Explorer』(英語)
この記事はスコット・ピンゾン(Scott Pinzon, CISSP)により調査され書かれた記事です。