Microsoft DirectX 9のゼロデイ脆弱性 2009年5月28日
Microsoft DirectX 9のゼロデイ脆弱性
危険度:高
2009年5月28日
【概要】
対象:
Microsoft DirectX 9.0 /それ以前のバージョン(DirectX 10 への影響はない)
攻撃方法:
悪質なQuickTime ムービーをユーザが再生するように仕向けたり、細工されたウェブサイトにユーザを誘導したりする
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
米国時間の5月28日にリリースしたセキュリティ情報で、マイクロソフトは深刻なDirectX の脆弱性について警告したが、攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始している。この脆弱性の影響はDirectX 9.0 (及びそれ以前のバージョン)を実行しているWindows 2000、XP 、Server 2003 などで見られるが、Windows Vista や Server 2008で使われているDirectX 10 への影響はない模様。
マイクロソフトはつい最近この欠陥について知ったため、技術詳細については説明しておらず、この欠陥はDirectShow(DirectXのコンポーネント)が、特別に作成されたQuickTime ファイルを処理する方法に関与していると述べているのみである。しかし、攻撃者がこの欠陥をどのように利用するかについてはアドバイザリで説明されている。細工されたQuickTime ムービーをユーザがダウンロードし開くように誘導したり、悪質なウェブサイトにユーザが行くように仕向けたりするなどして、攻撃者はこの脆弱性を悪用し被害者のコンピュータでコードを実行、ユーザレベルの特権や許可権を獲得する。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はWindows 2000やXP、Server 2003などの利用者達にとって深刻な脅威である。パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、DirectXがQuickTime ファイルを処理することができないようにする"Fix it"という回避策をリリースしている。WindowsでQuickTime ファイルを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。また、下記の方法もゼロデイ脆弱性によるリスクを緩和させる役に立つ。
ウォッチガード・ユーザ: 送信されてくるQuickTime ファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上こうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもQuickTime ファイルが必要であるというのでなければ、マイクロソフトが脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。 QuickTime ドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .mov 拡張子を設定すること。手順詳細については次のビデオを参照することをすすめる(注:英語音声のみ)。
【ステータス】
マイクロソフトは修正パッチをリリースする予定なので、それまでは先に説明した対策を実施することをすすめる。
【参考資料】 マイクロソフトのセキュリティ・アドバイザリ(日本語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:高
2009年5月28日
【概要】
対象:
Microsoft DirectX 9.0 /それ以前のバージョン(DirectX 10 への影響はない)
攻撃方法:
悪質なQuickTime ムービーをユーザが再生するように仕向けたり、細工されたウェブサイトにユーザを誘導したりする
影響:
攻撃者はユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる
対策:
この記事の「対策」で説明している対策を講じること
【詳細】
米国時間の5月28日にリリースしたセキュリティ情報で、マイクロソフトは深刻なDirectX の脆弱性について警告したが、攻撃者達はすでにインターネットでこの脆弱性の攻撃を開始している。この脆弱性の影響はDirectX 9.0 (及びそれ以前のバージョン)を実行しているWindows 2000、XP 、Server 2003 などで見られるが、Windows Vista や Server 2008で使われているDirectX 10 への影響はない模様。
マイクロソフトはつい最近この欠陥について知ったため、技術詳細については説明しておらず、この欠陥はDirectShow(DirectXのコンポーネント)が、特別に作成されたQuickTime ファイルを処理する方法に関与していると述べているのみである。しかし、攻撃者がこの欠陥をどのように利用するかについてはアドバイザリで説明されている。細工されたQuickTime ムービーをユーザがダウンロードし開くように誘導したり、悪質なウェブサイトにユーザが行くように仕向けたりするなどして、攻撃者はこの脆弱性を悪用し被害者のコンピュータでコードを実行、ユーザレベルの特権や許可権を獲得する。また、ユーザがローカル管理者であった場合、攻撃者はそのユーザのコンピュータを完全に操作できるようになる。
攻撃者がこの脆弱性を一般において実際に悪用していることから、この欠陥はWindows 2000やXP、Server 2003などの利用者達にとって深刻な脅威である。パッチが用意されるまでは下記の対策を講じ、この危険なゼロデイ攻撃のリスクを緩和することをすすめる。
【対策】
マイクロソフトはこのゼロデイ脆弱性のパッチをまだ公開していないが、DirectXがQuickTime ファイルを処理することができないようにする"Fix it"という回避策をリリースしている。WindowsでQuickTime ファイルを処理できなくても構わないというのであれば、マイクロソフトがパッチをリリースするまで、この"Fix it"回避策を講じることをすすめる。また、下記の方法もゼロデイ脆弱性によるリスクを緩和させる役に立つ。
- 脆弱性についてユーザに連絡
予期していないQuickTime (.mov) ムービーが添付されたメールには警戒するよう忠告すること。QuickTime ムービーがどうしても必要だというのでなく、その差出先を完全に信用することができないというのであれば、マイクロソフトがパッチをリリースするまでそれを閲覧することは避けた方がいいだろう。
- 最新版にアップデートしたウィルス対策ソフト(AV)を使うこと
この悪質なQuickTime ファイルを検出するシグネチャをAVベンダーがリリースすることは確実なので、使用しているウィルス対策ソフトを定期的にアップデートすること。
- Fireboxのようなゲートウェイ・デバイスを使用してQuickTime
を遮断する
ユーザがQuickTime ファイルをダウンロードすることができなければ、こうした悪用の影響を受けることはないのだが、残念ながらそうすることで正常なQuickTimeファイルも阻止してしまうことになる。しかし、ビジネス環境のニーズによっては、マイクロソフトが修正パッチをリリースするまでQuickTimeファイルをブロックしておいた方が良い場合もあるだろう。
ウォッチガード・ユーザ: 送信されてくるQuickTime ファイルを阻止できるウォッチガードFireboxは多々あるが、大方の管理者はビジネス上こうしたファイル・タイプを許可している。しかし、ビジネス上どうしてもQuickTime ファイルが必要であるというのでなければ、マイクロソフトが脆弱性を修正するパッチを公開するまでは、FireboxのHTTPプロキシやSMTPプロキシを使って問題のファイルを阻止するオプションもある。 QuickTime ドキュメントをブロックするには、Fireboxプロキシのコンテンツ・ブロック機能で .mov 拡張子を設定すること。手順詳細については次のビデオを参照することをすすめる(注:英語音声のみ)。
- 10.xを使用しているFirebox X Edge:
- Fireware 10.xを使用しているFirebox X CoreとX Peak:
【ステータス】
マイクロソフトは修正パッチをリリースする予定なので、それまでは先に説明した対策を実施することをすすめる。
【参考資料】 マイクロソフトのセキュリティ・アドバイザリ(日本語)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。