Easy management - our secret sauce. Watch the video tour.
HOME > セキュリティ情報 > Windowsのパッチ(11)、そのうち5つは 「緊急」レベル(アップデート2) 2010年2月18日

Windowsのパッチ(11)、そのうち5つは 「緊急」レベル(アップデート2) 2010年2月18日

アップデート 2: Windows のパッチ(11)、そのうち5つは 「緊急」レベル

MS10-015 BSOD: ルートキット感染したマシーンにのみ影響

危険度:高

2010年2月18日

アップデート 2:

マイクロソフトが提供したMS10-015パッチはWindows XPでBSOD(ブルー・スクリーン・オブ・デス)を引き起こす可能性があると、ライブセキュリティが先週の木曜日に報告したことは記憶に新しいだろう。マイクロソフトの新しいWindowsカーネル・パッチを導入後、コンピュータが完全に再起動できなくなったというWindowsユーザからの声が上がっていた。そうしたユーザからの報告はコンピュータがBSODを表示し機能しなくなるというものだった。しかし、その時点でマイクロソフトは問題については認めていたものの、調査を完了させていなかったほか、正式な対応も公開していなかった。

その後、マイクロソフトはこのBSOD 問題がAlureon ルートキットに感染しているWindowsコンピュータでのみ影響しているという結果を報告した。つまり、Alureon ルートキットに感染している状態でMS10-015 アップデートを導入すると、そのコンピュータはBSODループにはまってしまうというのだ。詳細についてはマイクロソフトのセキュリティ・リスポンス・センターのブログ参照することをすすめる。 マルウェアが原因であることが判明したため、マイクロソフトはこのパッチをアップデートする予定はないとしている。MS10-015 アップデートをすでにインストールしている場合は問題なく、MS10-015 アップデートの導入を見合わせていた場合は、Alureon ルートキットに感染していなければ、これで安全にインストールすることができる。今後、このルートキットを検出できるツールをマイクロソフトはリリースする予定だが、今のところはウィルス対策のフルスキャンを行ってからMS10-015をインストールすることをすすめる。スキャンの手段としてはF-SecureのBlacklightルートキット・スキャナーを使う方法もある。 この脆弱性の詳細については、これまでのセキュリティ・アラートを参照することをすすめる。

アップデート1:Windows のパッチ(11)、そのうち5つは 「緊急」レベル

MS10-015 XPでBSODを引き起こす可能性あり

危険度: 高

2009年2月11日

【アップデート】
マイクロソフトがパッチの日にWindows のセキュリティアドバイザリ11件を公開したことを、ウォッチガードは2月9日にライブセキュリティに加入しているユーザに連絡した。マイクロソフトは、そのアドバイザリでWindowsに搭載されている様々なコンポーネントに影響しているセキュリティ脆弱性(+19)を修正するパッチを提供した。
その時点でライブセキュリティでは、できる限り早急にそうしたパッチをダウンロードし、テストしてから導入することをすすめたが、その後、マイクロソフトが提供したパッチはWindows XPが正常に機能しなくなるようにする原因となり、BSOD(ブルー・スクリーン・オブ・デス)を引き起こす可能性があることが分った。マイクロソフトのパッチをインストールした後、使用しているXP が完全に起動せず、代わりにBSODが画面に出てくると多数のユーザが報告した。この問題の被害にあったユーザ達は、「セーフモード」でWindows を起動させることもできず、コンピュータをまったく使用できなくなったという。この時点で知られている唯一の修正方法は、Windows XPのディスクを使って起動させ、Windows を回復コンソールでスタートし、先日のWindows アップデートを手動でアンインストールするといったものだ(このプロセスの詳細はこちらを参照)。
マイクロソフトは、どのアップデートがこの問題を引き起こしているのか正式に報告していないが、被害者の多くは、マイクロソフトがリリースしたMS10-015が問題の原因であると見ている。そのアップデート (KB977165)をアンインストールするだけで、この問題を回避することはできるかもしれない。このBSOD問題についての詳細を知りたければ、ComputerWorld の記事を参照することをすすめる。

【ウォッチガードからのアドバイス】
マイクロソフトのアップデートをすでにインストールしているが、この問題の影響を受けていないという場合は、おそらく大丈夫だろう。マイクロソフトのアップデートをまだインストールしていない場合は、テスト用のマシーンでテストしてから、ネットワーク全体に導入することを強くすすめる。マイクロソフトのアップデートにおいては、ダウンロードしてから導入前にテストするようにと、常にすすめていることだ。マイクロソフトは、ここ何年かの間で以前より安定したアップデートを提供するようになったものの、過去にマクロソフトのアップデートで苦い経験をしたことがあるIT関係の人々は疑い深くなっている。 マイクロソフトのパッチは常にテストしてから導入することを提案している理由はそのためである。

カーネルの脆弱性を修正するこの特定のアップデートは、主に内部リスクを掲げているものであるため、火曜日に修正されたその他のセキュリティ脆弱性ほど深刻なものではないので、マイクロソフトが対応するまではMS10-015パッチをまだ触らないでいた方が良いかもしれない。このパッチをマイクロソフトがアップデートするのを待ってもおそらく問題はないだろう(但しそれはこの問題が実際に原因であった場合)。 マイクロソフトが正式に問題に対応し、アップデートを公開した場合は連絡する。 この脆弱性の詳細については、2月9日付けのライブセキュリティ・アラート「Windows のパッチ(11)、そのうち5つは 「緊急」レベル」を参照することをすすめる。

Windows のパッチ(11)、そのうち5つは 「緊急」レベル

セキュリティアドバイザリ対象:SMB Client/TCP/IP/DirectShow、その他

危険度:高

2010年2月9日

【概要】
対象: 最新版のWindowsとそれに搭載されているコンポーネント
攻撃方法: 細工したネットワーク・パケットを送信したり、悪質なメディアをユーザが開くように誘導するなど、攻撃方法はいくつもある
影響: 結果は様々だが最悪の場合、攻撃者はユーザのWindowsコンピュータを完全に操作できるようになる
対策: 状況に適したマイクロソフトのパッチを至急インストールするか、Windows 自動アップデートで必要なパッチをインストールすること

【詳細】
米国時間の2月9日、マイクロソフトはWindowsとそれに搭載されているコンポーネントに影響する19件以上の脆弱性について、セキュリティアドバイザリ11件をリリースした。各脆弱性がもたらす影響はWindowsのバージョンにより異なる。リモート攻撃者は中でも悪質な欠陥を悪用し、ユーザのWindows PCを完全に操作できるようになる。 次に、危険度の高いものから順に脆弱性の概要を説明する。

マイクロソフトのセキュリティアドバイザリ一覧日本語

MS10-006
SMBクライアントのコード実行問題
マイクロソフトのServer Message Block(SMB)は、Windowsがファイルやプリント共有に使うプロトコルである。マイクロソフトによると、Windows SMBクライアントは2つのコード実行問題の影響を受けているという。各問題は技術的には異なるが、攻撃者は欠陥を悪用し、同じ方法でそれらを利用することができる。悪質なSMB サーバにユーザが接続するように誘導すると、攻撃者は欠陥を悪用して脆弱なWindows コンピュータを完全に操ることができるようになる。

マイクロソフトによる評価: 緊急

MS10-007
Shell ハンドラーのコード実行問題
Windows はWindows のShell アプリケーション・プログラミング・インターフェイス(API)を搭載している。APIとは、他のプログラムが特定のShell オペレーションを実行できるようにするものだが(プログラムの実行など)、Shell API機能の1つは(ShellExecute)データを適切に確認していないため、攻撃者はこの欠陥を利用してコードを実行することができる。さらに具体的に言うと、細工したウェブページにユーザを誘導することで攻撃者はWindows が不安定なAPI 機能を起動させ、ユーザのコンピュータで任意コードを実行するようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。

マイクロソフトによる評価: 緊急

MS10-008
ActiveX Kill Bitの累積アップデート
マイクロソフトおよび外部のリサーチャー達は、様々なセキュリティ脆弱性の影響を受ける第三者のActive Xコントロールを確認している。攻撃者は悪質なウェブサイトにユーザを誘導することでこの脆弱性を利用し、Active Xコントロールのいずれかを悪用し、ユーザの権限を獲得した状態で、そのユーザのコンピュータでコードを実行する。その他のWindows脆弱性と同様に、ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。このアップデートは脆弱なActive コントロールすべてのKill Bitを設定することで、それをWindowsで無効にすることができる。

マイクロソフトによる評価: 緊急

MS10-009
Windows TCP/IP スタック脆弱性(複数)
TCP/IP スタックは、Windows VistaとServer 2008に搭載されているが、3つのコード実行問題と、サービス拒否(DoS)問題1つの影響を受けている。どの場合においても、攻撃者は細工したTCP/IPパケットをユーザのWindowsコンピュータに送信することで欠陥を悪用することができる。3つのコード実行問題は、明らかに最大の脅威だが、状況を緩和させることで実社会でのリスクを大幅に減少させることが可能だ。例えば、欠陥のうち2つは、ユーザがIPv6 ネットワーキングを使用している場合に限り(そうしているユーザは少ない)、3つめの欠陥は、カスタム・ネットワーク・ドライバーをインストールしているユーザのみに影響している。攻撃者がユーザのWindowsにログインすることに成功すると、攻撃者は細工したプログラムを実行することができ、3件の脆弱性いづれかを悪用し、そのマシンを完全に操作できるようになる。一方で、攻撃者は細工したパケットをいくつか送信するだけで4つめの脆弱性を簡単に悪用することができる。しかし、攻撃者は欠陥を悪用してもWindowsコンピュータをクラッシュさせたり、再起動させたりすることしかできない。

マイクロソフトによる評価: 緊急

MS10-013
DirectShow ヒープ・バッファ・オーバーフロー問題
DirectShowはWindowsがグラフィックやメディアを表示するために使うDirectXコンポーネントの1つである。DirectShow は、細工された不正AVIビデオ・ファイルを処理できない点に関与するヒープ・バッファ・オーバーフロー問題の影響を受けている。悪質なビデオをユーザがダウンロードし、それを閲覧するように誘導したり、ビデオを埋め込んだウェブサイトに行くように仕向けたりした場合、攻撃者は欠陥を悪用して、ユーザの権限を持った状態でそのコンピュータにてコードを実行することができるようになる。ユーザにローカル管理者の特権がある場合、攻撃者はユーザのコンピュータを完全に操作できるようになる。


マイクロソフトによる評価: 緊急

MS10-010
Windows Server 2008 x64 Hyper-V DoS 脆弱性
Hyper-V は、ハイパーバイザー・ベースのテクノロジーで、Windows Server 2008 およびServer 2008 R2において仮想化プラットフォームを提供するものである。しかしHyper-Vは、ゲスト仮想マシーン内の細工されたエンコード済みマシーン・インストラクションを解析する方法に関与するDoS脆弱性の影響を受けている。特別なプログラムをゲスト仮想マシーン内で実行することにより、攻撃者はこの欠陥を悪用してHyper-Vをロックアップすることができ、仮想化マシーンすべてが反応しなくなるようにすることができる。しかし、この欠陥を悪用するにおいて攻撃者は、まずゲスト仮想マシーンへのアクセス権を獲得しなければならない。この欠陥はx64バージョンのWindows サーバ 2008にのみ影響している。

マイクロソフトによる評価: 重要

MS10-011
CSRSS ローカル特権昇格の脆弱性
Client/Server Run-time SubSystem(CSRSS)は、不可欠なWindowsのコンポーネントで、Windowsコンソールやスレッドの作成・削除の責任を担っている。しかしこれはユーザがログアウトする際に適切にユーザ・プロセスを終了させていない。攻撃者は細工したプログラムを実行することでこの欠陥を利用し、権限昇格を行うとWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者がこの欠陥を悪用する場合は、まず有効なクレデンシャルを使って(ゲスト・アクセスでも可能)Windowsコンピュータへのローカル・アクセスを獲得しなければならない。

マイクロソフトによる評価:重要

MS10-012
SMB サーバの様々な脆弱性
先にも説明したように、Server Message Block(SMB)はWindowsがファイルやプリント共有に使うプロトコルだ。WindowsコンピュータはディフォルトでSMBサーバ・サービスを実行しているが、そのSMBサーバ・サービスは、4つの脆弱性の影響を受けている。細かくは、コード実行の欠陥(1)、DoS脆弱性(2)、権限昇格の問題(1)である。攻撃者は細工したSMBパケットを脆弱なPCに送信する方法で、欠陥4つをすべて同じ方法で悪用することができるが、各欠陥の活動範囲は大きく異なる。例えば、コード実行の脆弱性と聞くとかなりひどい問題のようだが、攻撃者は有効なユーザ・クレデンシャルで認証できた場合に限り脆弱性を悪用することができる。そして、2件のDoS脆弱性は、攻撃者が脆弱なシステムをロックアップすることだけを可能にする。最後に、攻撃者はSMB共有のアクセスを認証なしで可能にする権限昇格の欠陥を悪用することだけができ、コードが実行できるように問題を悪用することはできない。

マイクロソフトによる評価: 重要

MS10-014
Kerberos DoS の脆弱性
Kerberos は、サーバ版のWindowsが使用する認証プロトコルの1つである。Kerberos は、細工されたチケット・リニューアル・リクエストを適切に処理することができない点に関与するDoS脆弱性の影響を受けている。悪質なチケット・リニューアル・リクエストを送信することで、すでに認証済みの攻撃者はこの欠陥を悪用して脆弱なWindowsサーバをロックアップすることができるようになる。しかし、kerberosの有効なクレデンシャルを必要とする点は、この欠陥のリスクを大幅に緩和させている。


マイクロソフトによる評価: 重要

MS10-015
Windowsのカーネル権限昇格の脆弱性
カーネルはコンピューターのオペレーティング・システム(OS)の中核にあたるコンポーネントだ。Windowsカーネルは権限の昇格問題2件の影響を受けており、攻撃者は細工したプログラムを実行することで欠陥を利用し、ユーザのWindowsコンピュータを完全に操作できるようになる。しかし、攻撃者はまずユーザのWindowsコンピュータで有効なクレデンシャルを使い、ローカル・アクセスを獲得する必要がある。そうした点は、この欠陥のリスクを大幅に緩和させている。

マイクロソフトによる評価: 重要

MS10-005
Microsoft Paintの整数のオーバーフロー脆弱性
Microsoft PaintはWindowsに搭載されているベーシックなペインティング・アプリケーションだが、JPEGイメージを解読する方法に関与する欠陥により、整数のオーバーフロー問題の影響を受けている。特にMS Paintプログラムを使った悪質なJPEGイメージをユーザが閲覧するように誘導した場合、攻撃者はこの脆弱性を悪用してユーザの権限を獲得し、そのユーザのコンピュータでコードを実行することができる。また、ユーザにローカル管理者の権限がある場合は、勿論ユーザのコンピュータを完全に操作できるようになる。

マイクロソフトによる評価: 中

【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することを勧める。又、Windowsの自動アップデート機能を使用して必要なパッチをダウンロードしインストールする方法もある。
日本語版をダウンロードする場合は、「Change Language:」のドロップダウンメニューで「Japanese」を選択すること:
MS10-006
MS10-007
注意:この他のWindowsバージョンにおいて、この脆弱性の影響はない。

MS10-008 MS10-009
MS10-013 MS10-010
MS10-011
MS10-012
MS10-014
MS10-015
MS10-005
【ウォッチガード・ユーザ】
攻撃者は様々な悪用方法を使って問題を悪用することができる。ファイアウォールが適切に設定されていれば、こうした問題が掲げるいくつかのリスクを緩和させることができる。特にSMB関連の脆弱性においては、Fireboxはディフォルトでネットワーク・アクセスを必要とする大方のマイクロソフトの欠陥を防いでいる。攻撃実行に必要なファイルタイプを阻止するように、Fireboxを設定することも可能。とはいっても、Fireboxがローカル攻撃からユーザを保護したり、通常のHTTPトラフィックを装う攻撃などは阻止することができないので、マイクロソフトが提供しているアップデートをインストールすることが最も安全な対策だ。

【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。

【参考資料】
マイクロソフトのセキュリティアドバイザリ一覧(日本語
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。