ISA ServerとVirtual PC/Serverに見られる権限昇格の欠陥 2009年7月14日
ISA ServerとVirtual PC/Serverに見られる権限昇格の欠陥
危険度: 中
2009年7月14日
【概要】
対象:
ISA Server / Virtual PC / Virtual Server
攻撃方法:
細工した実行ファイルを作動させるなど様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザの Windows コンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチをできる限り早急にインストールすること
【詳細】
米国時間の7月14日、マイクロソフトはセキュリティ・アドバイザリを2件公開した。一般的には使われていない製品とその権限昇格の脆弱性について説明しているものだが、アドバイザリでは特に Microsoft ISA Server、Virtual PC、Virtual Server で見られる欠陥について解説している。こうした特定製品を使用しているウォッチガード・ユーザは少なく、リスクも取るに足らないものであるため、ここでは2件のアドバイザリを1つにまとめて報告する。
概要:
MS09-031
ISA Server 2006権限昇格の脆弱性 Internet Security and Acceleration Server やISA Server は、主にマイクロソフトによるビジネスクラスのゲートウェイ・ファイアウォールだが、ISA ServerはRadius One Time Password (OTP) 認証の実施方法に関与する脆弱性の影響を受けている。つまり攻撃者がユーザのユーザ名を知っているとOTP 認証を迂回し、そのユーザに許可されている同じリソースへのアクセス権を得ることができるようになる。但し、この脆弱性の影響を受けやすいのはRadius OTP認証用に設定されたISA Serverのみである。
マイクロソフトによる評価: 重要
MS09-033
Virtual Server とPC の権限昇格問題 物理的コンピュータ1台で、オペレーティング・システムのロジカル・インスタンスを複数実行できるようにするマイクロソフトの仮想化製品Virtual ServerとVirtual PCは、特定のマシン・インストラクションの復号に関与する権限昇格問題の影響を受けている。ゲスト・オペレーティングシステムの1つにログオンし、細工したプログラムを実行することで特権レベルの低い攻撃者は、脆弱性を悪用しゲストのオペレーティングシステムを完全に操作できるようになる。しかし攻撃者は、まずゲスト・オペレーティングシステムにログインするための有効なクレデンシャルが必要となる他、ホスト・オペレーティングシステムを完全に操作するためにこの脆弱性を悪用することはできない。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-031
Microsoft Internet Security and Acceleration Server 2006
Microsoft Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
MS09-033
Microsoft Virtual PC 2004 Service Pack 1
Microsoft Virtual PC 2007
Microsoft Virtual PC 2007 Service Pack 1
Microsoft Virtual PC 2007 x64 Edition
Microsoft Virtual PC 2007 x64 Edition Service Pack 1
Microsoft Virtual Server 2005 R2 Service Pack 1
Microsoft Virtual Server 2005 R2 x64 Edition Service Pack 1
ウォッチガード・ユーザ:
これらは主にローカル対象の問題であるため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフト・アドバイザリ:MS09-031
マイクロソフト・アドバイザリ:MS09-033
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 中
2009年7月14日
【概要】
対象:
ISA Server / Virtual PC / Virtual Server
攻撃方法:
細工した実行ファイルを作動させるなど様々な攻撃方法がある
影響:
結果は様々だが最悪の場合、攻撃者はユーザの Windows コンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチをできる限り早急にインストールすること
【詳細】
米国時間の7月14日、マイクロソフトはセキュリティ・アドバイザリを2件公開した。一般的には使われていない製品とその権限昇格の脆弱性について説明しているものだが、アドバイザリでは特に Microsoft ISA Server、Virtual PC、Virtual Server で見られる欠陥について解説している。こうした特定製品を使用しているウォッチガード・ユーザは少なく、リスクも取るに足らないものであるため、ここでは2件のアドバイザリを1つにまとめて報告する。
概要:
MS09-031
ISA Server 2006権限昇格の脆弱性 Internet Security and Acceleration Server やISA Server は、主にマイクロソフトによるビジネスクラスのゲートウェイ・ファイアウォールだが、ISA ServerはRadius One Time Password (OTP) 認証の実施方法に関与する脆弱性の影響を受けている。つまり攻撃者がユーザのユーザ名を知っているとOTP 認証を迂回し、そのユーザに許可されている同じリソースへのアクセス権を得ることができるようになる。但し、この脆弱性の影響を受けやすいのはRadius OTP認証用に設定されたISA Serverのみである。
マイクロソフトによる評価: 重要
MS09-033
Virtual Server とPC の権限昇格問題 物理的コンピュータ1台で、オペレーティング・システムのロジカル・インスタンスを複数実行できるようにするマイクロソフトの仮想化製品Virtual ServerとVirtual PCは、特定のマシン・インストラクションの復号に関与する権限昇格問題の影響を受けている。ゲスト・オペレーティングシステムの1つにログオンし、細工したプログラムを実行することで特権レベルの低い攻撃者は、脆弱性を悪用しゲストのオペレーティングシステムを完全に操作できるようになる。しかし攻撃者は、まずゲスト・オペレーティングシステムにログインするための有効なクレデンシャルが必要となる他、ホスト・オペレーティングシステムを完全に操作するためにこの脆弱性を悪用することはできない。
マイクロソフトによる評価: 重要
【対策】
マイクロソフトはこうした脆弱性を修正するパッチをリリースしているので、状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体で使用することをすすめる。
日本語版をダウンロードするには「Change Language」のドロップダウン・メニューから「Japanese」を選択:
MS09-031
Microsoft Internet Security and Acceleration Server 2006
Microsoft Internet Security and Acceleration Server 2006 Supportability Update
Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
MS09-033
Microsoft Virtual PC 2004 Service Pack 1
Microsoft Virtual PC 2007
Microsoft Virtual PC 2007 Service Pack 1
Microsoft Virtual PC 2007 x64 Edition
Microsoft Virtual PC 2007 x64 Edition Service Pack 1
Microsoft Virtual Server 2005 R2 Service Pack 1
Microsoft Virtual Server 2005 R2 x64 Edition Service Pack 1
ウォッチガード・ユーザ:
これらは主にローカル対象の問題であるため、前述のパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフト・アドバイザリ:MS09-031
マイクロソフト・アドバイザリ:MS09-033
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。