マイクロソフトのパッチがMSXMLとSMBの問題を修正 2008年11月11日
マイクロソフトのパッチがMSXMLとSMBの問題を修正
危険度:高
2008年11月11日
【概要】
対象:
最新版のWindowsとOffice(バージョンによる)
攻撃方法:
悪質なウェブサイトに被害者を誘導するなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の11月11日、マイクロソフトはWindowsや、それに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報2件をリリースした。脆弱性の中には、OfficeやOffice関連製品に影響するものもある。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS08-069
XMLコアサービスの脆弱性(3)
マイクロソフトのXMLコアサービス(MSXML)は、WindowsのXMLスタンダードに高度なサポートを提供する。XMLコアサービスはWindowsの全バージョンに搭載されていないが、マイクロソフトの人気製品やソフトウェア・アップデート、OfficeやIEに搭載されている場合もある。大抵WindowsワークステーションではXMLコアサービスが見られる。(XMLコアサービスを含む製品の詳細についてはマイクロソフトのナレッジベース記事"List of Microsoft XML Parser versions"を参照することをすすめる)
マイクロソフトのセキュリティ情報はMSXMLに影響する3つの脆弱性について説明している。中でも悪質な脆弱性は、メモリ破壊に関与し、細工されたXMLコンテンツをMSXMLが正しく処理しないことに起因する。攻撃者は悪質なウェブサイトにユーザを誘導することで脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。その他2つのMSXML欠陥には、やや危険性の低いクロスサイト・スクリプティング問題や情報開示の欠陥がある。
マイクロソフトによる評価:緊急
MS08-068
SMB の脆弱性でリモートからコードを実行
Server Message Block (SMB)はWindowsがネットワーク・ファイル共有に使うプロトコルだ。Windows SMBは、NT LAN Manager (NTLM)クレデンシャルの処理時にデフォルトで「クレデンシャル・リフレクションの脆弱性」という問題の影響を受けている。クレデンシャル・リフレクション攻撃では、攻撃者が何らかの方法で被害者のログイン・クレデンシャルを獲得する(これは通常ハッシュ値で送信される)。大方の場合、攻撃者はネットワーク・トラフィックをスニフィングしたりログインを記録する悪性のサーバにユーザを誘導することで、こうしたクレデンシャルを手に入れる。クレデンシャルを獲得すると、攻撃者は被害者の権限を持った上で、どこかのシステムにログインするためログイン・クレデンシャルを再生する。マイクロソフトSMBは、クレデンシャル・リフレクション保護機能を搭載しているが、Windowsはそれを標準設定で有効にしていない。攻撃者は悪性のSMBサーバにユーザがログインするように誘導することで、この保護に欠けている点を利用しユーザのNTLMログイン・クレデンシャルを獲得、ユーザのコンピュータへのアクセス権を手に入れる。ユーザにローカル管理者の権限がある場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。しかし、大方の管理者はSMBトラフィック(ポート135とポート445)がペリミターを超えてインターネットへ出て行くように許可していないため、この欠陥は主に内部脅威に繋がる。
マイクロソフトによる評価:重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することを勧める。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
MS08-069
2000
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP SP2
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP SP3
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003 Itanium Edition
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003 x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Vista
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Vista x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008 Itanium Edition
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008 x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Office
Office 2003
Word Viewer 2003
2007 Office System
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Expression Web and Expression Web 2
Office Sharepoint Server 2007
Office Sharepoint Server 2007 64-bit Edition
Office Groove Server 2007
注意:MSXMLの一連の可能な組み合わせは複雑であるため、Windowsアップデートの自動機能でパッチを探す方法を取ってもいいだろう。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
MS08-068
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、このような脆弱性が提示するリスクを標準設定で軽減させている。Fireboxは先に説明したSMB攻撃を開始するために必要なポートを標準設定でブロックする。しかし、トラフィックがファイアウォールを通過することなく、攻撃者はSMB攻撃をローカルで悪用することができる。さらに、攻撃者はユーザがウェブを閲覧するには許可しておかなければならない通常のHTTPトラフィックを使ってXML脆弱性を悪用することもできる。このため、パッチを適用することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-068
マイクロソフトのセキュリティ情報:MS08-069
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
危険度:高
2008年11月11日
【概要】
対象:
最新版のWindowsとOffice(バージョンによる)
攻撃方法:
悪質なウェブサイトに被害者を誘導するなど攻撃方法はいくつもある
影響:
結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の11月11日、マイクロソフトはWindowsや、それに搭載されているコンポーネントに影響する脆弱性についてセキュリティ情報2件をリリースした。脆弱性の中には、OfficeやOffice関連製品に影響するものもある。各脆弱性がもたらす影響はWindowsバージョンにより異なるが、リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。次に、危険度の高いものから順に脆弱性の概要を説明する。
MS08-069
XMLコアサービスの脆弱性(3)
マイクロソフトのXMLコアサービス(MSXML)は、WindowsのXMLスタンダードに高度なサポートを提供する。XMLコアサービスはWindowsの全バージョンに搭載されていないが、マイクロソフトの人気製品やソフトウェア・アップデート、OfficeやIEに搭載されている場合もある。大抵WindowsワークステーションではXMLコアサービスが見られる。(XMLコアサービスを含む製品の詳細についてはマイクロソフトのナレッジベース記事"List of Microsoft XML Parser versions"を参照することをすすめる)
マイクロソフトのセキュリティ情報はMSXMLに影響する3つの脆弱性について説明している。中でも悪質な脆弱性は、メモリ破壊に関与し、細工されたXMLコンテンツをMSXMLが正しく処理しないことに起因する。攻撃者は悪質なウェブサイトにユーザを誘導することで脆弱性を利用し、ユーザの権限を獲得した状態でそのユーザのコンピュータでコードを実行できるようになる。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。その他2つのMSXML欠陥には、やや危険性の低いクロスサイト・スクリプティング問題や情報開示の欠陥がある。
マイクロソフトによる評価:緊急
MS08-068
SMB の脆弱性でリモートからコードを実行
Server Message Block (SMB)はWindowsがネットワーク・ファイル共有に使うプロトコルだ。Windows SMBは、NT LAN Manager (NTLM)クレデンシャルの処理時にデフォルトで「クレデンシャル・リフレクションの脆弱性」という問題の影響を受けている。クレデンシャル・リフレクション攻撃では、攻撃者が何らかの方法で被害者のログイン・クレデンシャルを獲得する(これは通常ハッシュ値で送信される)。大方の場合、攻撃者はネットワーク・トラフィックをスニフィングしたりログインを記録する悪性のサーバにユーザを誘導することで、こうしたクレデンシャルを手に入れる。クレデンシャルを獲得すると、攻撃者は被害者の権限を持った上で、どこかのシステムにログインするためログイン・クレデンシャルを再生する。マイクロソフトSMBは、クレデンシャル・リフレクション保護機能を搭載しているが、Windowsはそれを標準設定で有効にしていない。攻撃者は悪性のSMBサーバにユーザがログインするように誘導することで、この保護に欠けている点を利用しユーザのNTLMログイン・クレデンシャルを獲得、ユーザのコンピュータへのアクセス権を手に入れる。ユーザにローカル管理者の権限がある場合は、攻撃者がユーザのコンピュータを完全に操作できるようになる。しかし、大方の管理者はSMBトラフィック(ポート135とポート445)がペリミターを超えてインターネットへ出て行くように許可していないため、この欠陥は主に内部脅威に繋がる。
マイクロソフトによる評価:重要
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することを勧める。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
MS08-069
2000
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP SP2
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP SP3
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
XP x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003 Itanium Edition
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2003 x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Vista
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Vista x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008 Itanium Edition
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Server 2008 x64
XML Core Services 3.0
XML Core Services 4.0
XML Core Services 6.0
Office
Office 2003
Word Viewer 2003
2007 Office System
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats
Microsoft Expression Web and Expression Web 2
Office Sharepoint Server 2007
Office Sharepoint Server 2007 64-bit Edition
Office Groove Server 2007
注意:MSXMLの一連の可能な組み合わせは複雑であるため、Windowsアップデートの自動機能でパッチを探す方法を取ってもいいだろう。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
MS08-068
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、このような脆弱性が提示するリスクを標準設定で軽減させている。Fireboxは先に説明したSMB攻撃を開始するために必要なポートを標準設定でブロックする。しかし、トラフィックがファイアウォールを通過することなく、攻撃者はSMB攻撃をローカルで悪用することができる。さらに、攻撃者はユーザがウェブを閲覧するには許可しておかなければならない通常のHTTPトラフィックを使ってXML脆弱性を悪用することもできる。このため、パッチを適用することを強くすすめる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS08-068
マイクロソフトのセキュリティ情報:MS08-069
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。