クイックタイムRTSP の欠陥がウィンドウズのゼロデイ問題に加担 2007年11月26日
クイックタイムRTSP の欠陥がウィンドウズのゼロデイ問題に加担
危険度:中
日付:2007年11月26日
【概要】
米国の長い連休の間に、ポーランド人のセキュリティ研究家は、ウィンドウズ対象のクイックタイム・バージョン7.3及びバージョン7.2に影響を与えるゼロデイ問題の概念実証コードを公開した。
攻撃者は細工したウェブページにユーザーを招き寄せたり、悪性のクイックタイム・ファイルをユーザーが開くように工作することでこの欠陥を悪用し、ユーザーのコンピューターでコードを実行する。場合によっては、攻撃者がコントロール権を完全獲得する可能性もある。ネットワークでクイックタイムやiTunesを使用している場合や、ユーザーがそれらをインストールしていると思われる場合は、このアラートで説明する対策を講じるように伝えるか、アップルが修正プログラムを用意するまで、そのアプリケーションを除去することをすすめる。
【問題の詳細】
米国時間の11月23日(金)、クリスティアン・クロスコウスキー(Krystian Kloskowski)というセキュリティ研究家は、ウィンドウズ用のアップル・クイックタイム(バージョン7.3及びバージョン7.2)のゼロデイ・セキュリティ問題を悪用する概念実証コード(PoC)をリリースした。このPoCは、クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)の処理に使用するコードに関与する、新たなバッファ・オーバーフロー問題を悪用する。
この問題は、我々が今年1月にアラートで説明したRTSP関連の別のクイックタイム問題に似ている。細工したウェブページやRTSPストリームにユーザーを招き寄せたり、悪性のクイックタイムのメディア・ファイルをユーザーが開くように工作することで、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行する。これを成功させると、攻撃者は被害者の権限を獲得できるようになる。つまり、ユーザーに与えている権限のレベルに基づき、攻撃者が被害者のコンピューターを完全にコントロールできるようになる可能性がある。クロスコウスキーは、ウィンドウズ用のクイックタイム・バージョン7.2及びバージョン7.3の欠陥を悪用するコンセプトの実証コードをリリースした。彼がリリースしたオリジナルのPoCコードに含まれたペイロードは無害である。しかし、他のグレイハット系セキュリティ研究家達は、クロスコウスキーのオリジナル・コードをもとに、新しい悪用手段をすでにリリースしている[1/2]。
そのような新しい手口には、バックドア・アクセスのような、オリジナルのコードよりも悪性のペイロードが含まれている上に、攻撃者はそうした悪用に簡単に手を加え、任意に動くことができるようになる。ライブセキュリティ・チームがそのうちのバックドアの1つをテストしてみたところ、ユーザーが細工されたリンクに行かなければ、悪用はうまく機能しないことがわかった。
今のところ、こうした悪用は主にウィンドウズXPとVistaを標的にしているが、この脆弱性はOS X用のクイックタイムにも影響を与えることができる。アップルが問題について対応するまで、欠陥の全容についてはわからないというのが現状だ。
修正プログラムがリリースされておらず、悪用コードが広く出回っていることを懸念すると、クイックタイムやiTunesユーザーに対し、この脆弱性は重大なリスクとなる(現バージョンのiTunesはクイックタイムと搭載されている)。アップルのマルチメディア製品を使用している場合は、できる限り早急に、このアラートで説明している【対策】を講じることをすすめる。
【対策】
クロスコウスキーは先にアップルに報告せずに、この脆弱性をリリースしたため、アップルには修正プログラムを作成し、それをリリースする十分な時間がなかった。ネットワークでクイックタイムやiTunesの使用を許可している場合や、ユーザーがそうしたアプリケーションをインストールしていると思われる場合は、アップルが修正プログラムをリリースするまで、次の対策を講じることをすすめる。
《クイックタイムのRTSPストリーム・ディスクリプターをオフにする》
ウェブ・ブラウザーがRTSPストリームを処理するには、クイックタイムでRTSPストリーム・ディスクリプターをオンにしておかなければならない。RTSPストリーム・ディスクリプターは、Mac用のクイックタイムではディフォルトでオンになっている。クイックタイムでRTSPストリーム・ディスクリプターをオフにすると、ウェブ・ブラウザーがRTSPメディア・ストリームを処理することを阻止できる。そうすることで、悪性のRTSP URLを利用し、この脆弱性を悪用する攻撃からユーザーを保護できるが、ストリーミングにRTSPを使うビデオはすべて(悪性か良性かにかかわらず)ストリームすることができなくなる。このため、社内において、これが安全をもたらす以上に不便なことになるかどうかを検討することが必要だろう。
OS Xユーザー:
クイックタイムから《Quicktime Player》→《Quicktime Preference…》→《Advanced》
タブに行く。次に《Mime Settings…》をクリックし《Streaming- Streaming movies》
を最大にする。RTSPストリーム・ディスクリプター設定のチェックを外す。
ウィンドウズ・ユーザー:
ウィンドウズ用のクイックタイムにおいて、RTSPストリーム・ディスクリプターはディフォルトでオフになっているが《Edit》→《Preferences》→《Quicktime Preferences…》→《File Types》タブで設定を確認できる。《Streaming - Streaming movies》を最大にし、RTSPストリーム・ディスクリプター設定がチェックされていないことを確認する。クイックタイムのControl Panelに行き、File TypesタブからRSTPストリーム・ディスクリプターに行くこともできる。
RTSPストリーム・ディスクリプターをオフにした後でも、攻撃者は細工したURLの利用以外の方法で、この脆弱性を悪用することも可能であることに注意しよう。その他の方法については次を参照。
《ゲートウェイでクイックタイム・メディアのコンテンツを全て阻止する》
残念ながら、攻撃者は細工したクイックメディア・ファイルをユーザーにダウンロードさせることで、この脆弱性を悪用することもできる。理論上、攻撃者は.mov、.mp3、.qtl、.aviファイルなど、その他にも様々あるクイックタイムが処理するメディア・ファイルで、この攻撃を誘発させることができる。そうした可能性のあるメディア・ファイルを全てゲートウェイでブロックすることにより、この攻撃の誘導性からネットワークを保護することができる。しかし、そうすることで正当なメディア・ファイルも受信することができなくなるため、これは厳重対策が必要な組織にのみ適用できるオプションであろう。
《RTSPアクセス送信を阻止する》
RTSPメディア・ストリームは、通常TCPポート554を使用して初期接続を確立する。ファイアウォールを使用してTCPポート554への送信用アクセスを阻止する場合、攻撃者が悪性のRTSPストリームにユーザーを誘うというリスクを軽減させることができる。実際、この脆弱性に対してリリースされている悪用方法は、被害者がTCPポート554にアクセスすることを必要とする。ユーザーがTCPポート554にアクセスできないようになっている場合、この悪用方法は成功しない。対策方法に関するその他の情報については、CERTがリリースしたクイックタイムに関するアドバイザリーの対策欄を参照することをすすめる。
この問題に対応するクイックタイム用の修正プログラムをアップルがリリースし次第、改めて連絡する。
ウォッチガード・ユーザー:
ウォッチガードのFirebox製品シリーズには、ユーザーがウェブやメール経由で、特定のメディア・ファイルをダウンロードできないようにするものが多々ある。FireboxのHTTP、SMTP、POP3プロキシー・サービスを使ってメディア・ファイルを全てブロックすると、この脆弱性がもたらすリスクを一時的に軽減させることができる。しかし、様々なメディア・ファイルがこの脆弱性を誘発することができるため、ファイルをブロックすることで、正当なメディア・ファイルもユーザーがダウンロードできないようになる。このため、先に説明した対策を講じるほうが賢明かもしれない。
Fireboxの管理者は、TCPポート554への送信用アクセスをブロックすることで、RTSPストリームへユーザーがアクセスすることを阻止できる。これにより、ユーザーはこうした攻撃をホストする、細工されたRTSPリンクにユーザーが行けないようにすることができる。そうするには、TCPポート554用のポリシーを作成し、そのサービスからの送信用アクセスを全て拒否するようにすればいい。しかしそうすることで、RTSPストリームを使用する正当なメディア・ファイルもストリームすることができなくなることに注意しよう。
【ステータス】
アップルがクイックタイムのアップデート版をリリースし次第、改めて連絡する。
【参考資料】
クリスティアン・クロスコウスキーによるクイックタイムのRTSP悪用のコンセプトの証明(英語)
セキュリティ・フォーカスによるクイックタイムのRTSP問題に関するアドバイザリー(英語)
CERTによるクイックタイムのRTSP問題に関するアドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。
危険度:中
日付:2007年11月26日
【概要】
米国の長い連休の間に、ポーランド人のセキュリティ研究家は、ウィンドウズ対象のクイックタイム・バージョン7.3及びバージョン7.2に影響を与えるゼロデイ問題の概念実証コードを公開した。
攻撃者は細工したウェブページにユーザーを招き寄せたり、悪性のクイックタイム・ファイルをユーザーが開くように工作することでこの欠陥を悪用し、ユーザーのコンピューターでコードを実行する。場合によっては、攻撃者がコントロール権を完全獲得する可能性もある。ネットワークでクイックタイムやiTunesを使用している場合や、ユーザーがそれらをインストールしていると思われる場合は、このアラートで説明する対策を講じるように伝えるか、アップルが修正プログラムを用意するまで、そのアプリケーションを除去することをすすめる。
【問題の詳細】
米国時間の11月23日(金)、クリスティアン・クロスコウスキー(Krystian Kloskowski)というセキュリティ研究家は、ウィンドウズ用のアップル・クイックタイム(バージョン7.3及びバージョン7.2)のゼロデイ・セキュリティ問題を悪用する概念実証コード(PoC)をリリースした。このPoCは、クイックタイムがリアルタイム・ストリーミング・プロトコル(RTSP)の処理に使用するコードに関与する、新たなバッファ・オーバーフロー問題を悪用する。
この問題は、我々が今年1月にアラートで説明したRTSP関連の別のクイックタイム問題に似ている。細工したウェブページやRTSPストリームにユーザーを招き寄せたり、悪性のクイックタイムのメディア・ファイルをユーザーが開くように工作することで、攻撃者はこの欠陥を悪用し、ユーザーのコンピューターでコードを実行する。これを成功させると、攻撃者は被害者の権限を獲得できるようになる。つまり、ユーザーに与えている権限のレベルに基づき、攻撃者が被害者のコンピューターを完全にコントロールできるようになる可能性がある。クロスコウスキーは、ウィンドウズ用のクイックタイム・バージョン7.2及びバージョン7.3の欠陥を悪用するコンセプトの実証コードをリリースした。彼がリリースしたオリジナルのPoCコードに含まれたペイロードは無害である。しかし、他のグレイハット系セキュリティ研究家達は、クロスコウスキーのオリジナル・コードをもとに、新しい悪用手段をすでにリリースしている[1/2]。
そのような新しい手口には、バックドア・アクセスのような、オリジナルのコードよりも悪性のペイロードが含まれている上に、攻撃者はそうした悪用に簡単に手を加え、任意に動くことができるようになる。ライブセキュリティ・チームがそのうちのバックドアの1つをテストしてみたところ、ユーザーが細工されたリンクに行かなければ、悪用はうまく機能しないことがわかった。
今のところ、こうした悪用は主にウィンドウズXPとVistaを標的にしているが、この脆弱性はOS X用のクイックタイムにも影響を与えることができる。アップルが問題について対応するまで、欠陥の全容についてはわからないというのが現状だ。
修正プログラムがリリースされておらず、悪用コードが広く出回っていることを懸念すると、クイックタイムやiTunesユーザーに対し、この脆弱性は重大なリスクとなる(現バージョンのiTunesはクイックタイムと搭載されている)。アップルのマルチメディア製品を使用している場合は、できる限り早急に、このアラートで説明している【対策】を講じることをすすめる。
【対策】
クロスコウスキーは先にアップルに報告せずに、この脆弱性をリリースしたため、アップルには修正プログラムを作成し、それをリリースする十分な時間がなかった。ネットワークでクイックタイムやiTunesの使用を許可している場合や、ユーザーがそうしたアプリケーションをインストールしていると思われる場合は、アップルが修正プログラムをリリースするまで、次の対策を講じることをすすめる。
《クイックタイムのRTSPストリーム・ディスクリプターをオフにする》
ウェブ・ブラウザーがRTSPストリームを処理するには、クイックタイムでRTSPストリーム・ディスクリプターをオンにしておかなければならない。RTSPストリーム・ディスクリプターは、Mac用のクイックタイムではディフォルトでオンになっている。クイックタイムでRTSPストリーム・ディスクリプターをオフにすると、ウェブ・ブラウザーがRTSPメディア・ストリームを処理することを阻止できる。そうすることで、悪性のRTSP URLを利用し、この脆弱性を悪用する攻撃からユーザーを保護できるが、ストリーミングにRTSPを使うビデオはすべて(悪性か良性かにかかわらず)ストリームすることができなくなる。このため、社内において、これが安全をもたらす以上に不便なことになるかどうかを検討することが必要だろう。
OS Xユーザー:
クイックタイムから《Quicktime Player》→《Quicktime Preference…》→《Advanced》
タブに行く。次に《Mime Settings…》をクリックし《Streaming- Streaming movies》
を最大にする。RTSPストリーム・ディスクリプター設定のチェックを外す。
ウィンドウズ・ユーザー:
ウィンドウズ用のクイックタイムにおいて、RTSPストリーム・ディスクリプターはディフォルトでオフになっているが《Edit》→《Preferences》→《Quicktime Preferences…》→《File Types》タブで設定を確認できる。《Streaming - Streaming movies》を最大にし、RTSPストリーム・ディスクリプター設定がチェックされていないことを確認する。クイックタイムのControl Panelに行き、File TypesタブからRSTPストリーム・ディスクリプターに行くこともできる。
RTSPストリーム・ディスクリプターをオフにした後でも、攻撃者は細工したURLの利用以外の方法で、この脆弱性を悪用することも可能であることに注意しよう。その他の方法については次を参照。
《ゲートウェイでクイックタイム・メディアのコンテンツを全て阻止する》
残念ながら、攻撃者は細工したクイックメディア・ファイルをユーザーにダウンロードさせることで、この脆弱性を悪用することもできる。理論上、攻撃者は.mov、.mp3、.qtl、.aviファイルなど、その他にも様々あるクイックタイムが処理するメディア・ファイルで、この攻撃を誘発させることができる。そうした可能性のあるメディア・ファイルを全てゲートウェイでブロックすることにより、この攻撃の誘導性からネットワークを保護することができる。しかし、そうすることで正当なメディア・ファイルも受信することができなくなるため、これは厳重対策が必要な組織にのみ適用できるオプションであろう。
《RTSPアクセス送信を阻止する》
RTSPメディア・ストリームは、通常TCPポート554を使用して初期接続を確立する。ファイアウォールを使用してTCPポート554への送信用アクセスを阻止する場合、攻撃者が悪性のRTSPストリームにユーザーを誘うというリスクを軽減させることができる。実際、この脆弱性に対してリリースされている悪用方法は、被害者がTCPポート554にアクセスすることを必要とする。ユーザーがTCPポート554にアクセスできないようになっている場合、この悪用方法は成功しない。対策方法に関するその他の情報については、CERTがリリースしたクイックタイムに関するアドバイザリーの対策欄を参照することをすすめる。
この問題に対応するクイックタイム用の修正プログラムをアップルがリリースし次第、改めて連絡する。
ウォッチガード・ユーザー:
ウォッチガードのFirebox製品シリーズには、ユーザーがウェブやメール経由で、特定のメディア・ファイルをダウンロードできないようにするものが多々ある。FireboxのHTTP、SMTP、POP3プロキシー・サービスを使ってメディア・ファイルを全てブロックすると、この脆弱性がもたらすリスクを一時的に軽減させることができる。しかし、様々なメディア・ファイルがこの脆弱性を誘発することができるため、ファイルをブロックすることで、正当なメディア・ファイルもユーザーがダウンロードできないようになる。このため、先に説明した対策を講じるほうが賢明かもしれない。
Fireboxの管理者は、TCPポート554への送信用アクセスをブロックすることで、RTSPストリームへユーザーがアクセスすることを阻止できる。これにより、ユーザーはこうした攻撃をホストする、細工されたRTSPリンクにユーザーが行けないようにすることができる。そうするには、TCPポート554用のポリシーを作成し、そのサービスからの送信用アクセスを全て拒否するようにすればいい。しかしそうすることで、RTSPストリームを使用する正当なメディア・ファイルもストリームすることができなくなることに注意しよう。
【ステータス】
アップルがクイックタイムのアップデート版をリリースし次第、改めて連絡する。
【参考資料】
クリスティアン・クロスコウスキーによるクイックタイムのRTSP悪用のコンセプトの証明(英語)
セキュリティ・フォーカスによるクイックタイムのRTSP問題に関するアドバイザリー(英語)
CERTによるクイックタイムのRTSP問題に関するアドバイザリー(英語)
このセキュリティ・アラートは、ウォッチガード・ライブセキュリティのコーリー・ナクライナーCISSPによって調査され書かれた記事です。