ゼロデイIEセキュリティ・ホールを攻撃 パッチをインストールしているVistaユーザにも影響 2008年12月11日
ゼロデイIEセキュリティ・ホールを攻撃
パッチをインストールしているVistaユーザにも影響
危険度:高
2008年12月11日
【概要】
対象:
Internet Explorer (IE) 7.xの最新版
攻撃方法:
有害なウェブサイトにユーザを誘導する
影響:
攻撃者はコードを実行し、ユーザのコンピュータを完全に操作できるようになる
対策:
このアラートの「対策」欄で説明している回避方法を至急実行すること
【詳細】
米国時間の12月10日にリリースしたセキュリティ情報でマイクロソフトは、非常に深刻なInternet Explorer (IE) 7.xの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、パッチはまだ用意されていない。マイクロソフトは、それ以前のバージョンのIEにもこの問題が影響しているかどうかについては言及していないが、パッチをインストールしているXPやVista、Server 2003、Server 2008のコンピュータにおいても、IE7の欠陥は問題となっている。
この新たなIE7の脆弱性を発見したのは中国のセキュリティ・リサーチ・チームのKnownSecだ。当初、KnownSecはマイクロソフトとこの問題に取り組み、責任ある方法でこの欠陥を公開する予定でいたが、マイクロソフトがすでに問題を修正するパッチをリリースしたと思い、誤ってこの脆弱性の技術詳細情報を早目に公表してしまったという。さらに悪いことには、KnownSec がこの情報を流れ出してしまう以前から、ハッカーはおそらくこの脆弱性について知っていたと思われる。iDefenseの研究者達によると、パッチされていないIE7の欠陥を利用するための悪用方法は、アンダーグランドのフォーラムでKnownSecが情報を漏らす前に15,000米ドルでトレードされていたという。しかし現在は、よく知られている悪用方法をアーカイブするサイトで攻撃者達がこの欠陥を悪用する複数の方法を無料で入手できるようになっている。
この問題に関する中国語での情報によると、(中国語版/Google翻訳ツール版日本語/Google翻訳ツール版英語)この欠陥はXMLドキュメントに見られる特定のエレメントをIEが適切に解析しない点に関与しているらしい(この欠陥の技術詳細情報を知りたい場合は、MetasploitのクリエーターHD Mooreによる分析を参照することをすすめる(英文))。悪性のウェブサイトにユーザを誘導したり、正当なサイトに罠を仕掛けたりすることで、攻撃者はユーザの権限を獲得し、そのユーザのコンピュータでコードを実行することができる。大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者はおそらくこの欠陥を悪用してユーザのPCを完全に操作できるようになるだろう。
XP SP3で、このゼロデイIE7欠陥に対する悪用方法をテストしたところ、問題なくそれを実行することができた。さらに、SANs Internet Storm Diaryハンドラーは、攻撃者がSQL挿入攻撃を利用して、このゼロデイ欠陥を正当なウェブサイトに挿入しているのをすでに見たことがあるという。マイクロソフトはこの脆弱性に対応するパッチをまだリリースしておらず、攻撃者はこれをインターネットで悪用しているため、ライブセキュリティではこのリスクを重大な問題と評価している。こうした理由から、下記の対策を至急実施することを強くすすめる。
【対策】
マイクロソフトはこの脆弱性に対応するパッチをまだ公開していないが、リリースされ次第、連絡する。それまでは、次の方法でこの脆弱性のリスクを和らげることができる。
ウォッチガード・ユーザ:
この攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明した対策を至急実施することを強くすすめる。
【ステータス】
マイクロソフトはこのゼロデイ脆弱性に対応するパッチをまだ公開していないが、入手可能になり次第連絡する。
【参考資料】
マイクロソフトのアクセス・セキュリティ・アドバイザリー 961051
KnownSecのセキュリティ・アドバイザリー[中国語/Google翻訳ツール版日本語/Google翻訳ツール版英語]
HD Mooreによるこの問題の分析(英語)
IE 7 の欠陥に関するPC Worldの記事(英語)
SAN ISC Diary によるこの問題に関する記事(英語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
パッチをインストールしているVistaユーザにも影響
危険度:高
2008年12月11日
【概要】
対象:
Internet Explorer (IE) 7.xの最新版
攻撃方法:
有害なウェブサイトにユーザを誘導する
影響:
攻撃者はコードを実行し、ユーザのコンピュータを完全に操作できるようになる
対策:
このアラートの「対策」欄で説明している回避方法を至急実行すること
【詳細】
米国時間の12月10日にリリースしたセキュリティ情報でマイクロソフトは、非常に深刻なInternet Explorer (IE) 7.xの脆弱性について警告した。攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始しているが、パッチはまだ用意されていない。マイクロソフトは、それ以前のバージョンのIEにもこの問題が影響しているかどうかについては言及していないが、パッチをインストールしているXPやVista、Server 2003、Server 2008のコンピュータにおいても、IE7の欠陥は問題となっている。
この新たなIE7の脆弱性を発見したのは中国のセキュリティ・リサーチ・チームのKnownSecだ。当初、KnownSecはマイクロソフトとこの問題に取り組み、責任ある方法でこの欠陥を公開する予定でいたが、マイクロソフトがすでに問題を修正するパッチをリリースしたと思い、誤ってこの脆弱性の技術詳細情報を早目に公表してしまったという。さらに悪いことには、KnownSec がこの情報を流れ出してしまう以前から、ハッカーはおそらくこの脆弱性について知っていたと思われる。iDefenseの研究者達によると、パッチされていないIE7の欠陥を利用するための悪用方法は、アンダーグランドのフォーラムでKnownSecが情報を漏らす前に15,000米ドルでトレードされていたという。しかし現在は、よく知られている悪用方法をアーカイブするサイトで攻撃者達がこの欠陥を悪用する複数の方法を無料で入手できるようになっている。
この問題に関する中国語での情報によると、(中国語版/Google翻訳ツール版日本語/Google翻訳ツール版英語)この欠陥はXMLドキュメントに見られる特定のエレメントをIEが適切に解析しない点に関与しているらしい(この欠陥の技術詳細情報を知りたい場合は、MetasploitのクリエーターHD Mooreによる分析を参照することをすすめる(英文))。悪性のウェブサイトにユーザを誘導したり、正当なサイトに罠を仕掛けたりすることで、攻撃者はユーザの権限を獲得し、そのユーザのコンピュータでコードを実行することができる。大方のWindowsユーザにはローカル管理者の特権があるため、攻撃者はおそらくこの欠陥を悪用してユーザのPCを完全に操作できるようになるだろう。
XP SP3で、このゼロデイIE7欠陥に対する悪用方法をテストしたところ、問題なくそれを実行することができた。さらに、SANs Internet Storm Diaryハンドラーは、攻撃者がSQL挿入攻撃を利用して、このゼロデイ欠陥を正当なウェブサイトに挿入しているのをすでに見たことがあるという。マイクロソフトはこの脆弱性に対応するパッチをまだリリースしておらず、攻撃者はこれをインターネットで悪用しているため、ライブセキュリティではこのリスクを重大な問題と評価している。こうした理由から、下記の対策を至急実施することを強くすすめる。
【対策】
マイクロソフトはこの脆弱性に対応するパッチをまだ公開していないが、リリースされ次第、連絡する。それまでは、次の方法でこの脆弱性のリスクを和らげることができる。
- VistaユーザはIEを保護モード(Protected Mode)で実行
保護モードは、攻撃者がメモリ破壊攻撃を介して悪質なコードを実行することを妨げることができる。(保護モードでIEを実行しているかどうかを確認する方法は、マイクロソフトのブログ(英文)に表示されている)。
- セキュリティ・レベルを「高」にしてIEを実行
このモードにすると、攻撃者が悪用を成功させるために依存するスクリプトやActiveXコントロールなどを実行する前に、IEがユーザに知らせるようにすることができる。そうしたスクリプトを実行しない限り、この攻撃が成功することはない。IEでセキュリティ・レベルを「高」に設定する方法については、『25 Years of Programming』(英文)というブログを参照することをすすめる。
- IEでDEPを有効にする
データ実行防止(DEP)は、攻撃者がバッファ・オーバーフローのようなメモリ破壊の脆弱性経由でコードを実行することを阻止する技術だ。現在インターネットに見られるIE7の悪用方法をDEPを有効にした状態でテストしたところ、悪用を実行することはできなかった。WindowsではDEPをどのプログラムにも、また各プログラムでも有効にすることができるので、少なくともIEでDEPを有効にすることをすすめる。DEP設定方法については、マイクロソフトのテクノート(英文)にまとめられている。
- 一時的に別のブラウザーを使う
IEに依存している組織もあるが、FirefoxやOperaなど他のウェブ・ブラウザーに移行しているケースも多々ある。こうした別のブラウザーも脆弱性の影響を受けているが、注目を浴びているこの脆弱性から保護するため、少なくとも一時的にそちらに移行することを検討するといいだろう。
ウォッチガード・ユーザ:
この攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明した対策を至急実施することを強くすすめる。
【ステータス】
マイクロソフトはこのゼロデイ脆弱性に対応するパッチをまだ公開していないが、入手可能になり次第連絡する。
【参考資料】
マイクロソフトのアクセス・セキュリティ・アドバイザリー 961051
KnownSecのセキュリティ・アドバイザリー[中国語/Google翻訳ツール版日本語/Google翻訳ツール版英語]
HD Mooreによるこの問題の分析(英語)
IE 7 の欠陥に関するPC Worldの記事(英語)
SAN ISC Diary によるこの問題に関する記事(英語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。