Windows Mediaコンポーネントに影響 するクレデンシャル・リプレイの脆弱性 2008年12月9日
Windows Mediaコンポーネントに影響 するクレデンシャル・リプレイの脆弱性
危険度:中
2008年12月9日
【概要】
対象:
Windows Media Player、Windows Mediaランタイム、Windows Mediaサービス
攻撃方法:
認証を必要とする有害なサーバやウェブサイトにユーザを誘導する
影響:
リモート環境からの攻撃者がコードを実行することができ、ユーザのコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
Windows Mediaコンポーネント(WMC)に含まれている機能:
米国時間の12月9日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、WMCに影響する2件の脆弱性について説明している。攻撃者はこの脆弱性を反射攻撃(またはリプレイ攻撃)とも呼ばれるNTLMクレデンシャル反射攻撃と組み合わせることができる。
マイクロソフトのNT LAN Manager (NTLM)とSMBプロトコルはクレデンシャル・リプレイの脆弱性という問題にこの数年間、悩まされてきた。被害者が有害なコンピュータとSMB接続を確立するように誘導すると、攻撃者は被害者のコンピュータに対しNTLM認証クレデンシャルを再生、または反映させることができ、それにより被害者の特権を獲得しコンピュータにアクセスできるようになる(この欠陥の詳細については他の英文記事も参照)。マイクロソフトは、この長期に渡る脆弱性を先月公表したWindowsアップデートで修正している(詳細についてはMS08-068またはライブセキュリティ・アラート記事を参照)。
しかし残念なことに、このWMCはユーザのクレデンシャルがユーザのシステムに反映されたりユーザの成りすましに利用されることを防ぐことができる最近のNTLMクレデンシャル反射保護機能を正確に選択しないという面がある。WMCに搭載されているコンポーネントに見られる2つの脆弱性を悪用することで、攻撃者はユーザのNTLMクレデンシャル情報を獲得し、そのクレデンシャルを再生することでユーザのコンピュータにアクセスできるようになる。この攻撃を実行する場合、攻撃者はまずユーザが有害なサーバに行き、認証するように誘導しなければならない。これに成功すると、攻撃者はユーザの認証クレデンシャルを再生し、ユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行できる。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのPCを完全に操作することができるようになる。場合によっては、攻撃者はこのクレデンシャル反射攻撃を悪用し、ネットワーク・サービス・アカウントと同等の権利を獲得した状態でコードを実行する可能性もある。しかし、このアカウントにあるのは制限付きのユーザ権限や許可権のみである。
【対策】
マイクロソフトはこうしたクレデンシャル反射脆弱性を修正するアップデートをリリースしている。できる限り早急に状況に適したパッチをダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択すること:
Windows Media Player 6.4アップデートのダウンロード先:
Windows Media形式ランタイム・アップデートのダウンロード先:
Windows Mediaサービス・アップデートのダウンロード先:
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
日本語版:
マイクロソフト・セキュリティ情報:MS08-076
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
危険度:中
2008年12月9日
【概要】
対象:
Windows Media Player、Windows Mediaランタイム、Windows Mediaサービス
攻撃方法:
認証を必要とする有害なサーバやウェブサイトにユーザを誘導する
影響:
リモート環境からの攻撃者がコードを実行することができ、ユーザのコンピュータを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
Windows Mediaコンポーネント(WMC)に含まれている機能:
- Windows Media Player (WMP):
Windowsに搭載。マルチメディアを再生する人気のアプリケーション。
- Windows Media 形式ランタイム:
WMPのアドオンで新しいビデオやオーディオ・コーデックを紹介。
- Windows Mediaサービス:
インターネットなどネットワークでオーディオやビデオをストリーミングするためのプラットフォーム。
米国時間の12月9日、マイクロソフトが毎月リリースするパッチ提供日に公開されたセキュリティ情報は、WMCに影響する2件の脆弱性について説明している。攻撃者はこの脆弱性を反射攻撃(またはリプレイ攻撃)とも呼ばれるNTLMクレデンシャル反射攻撃と組み合わせることができる。
マイクロソフトのNT LAN Manager (NTLM)とSMBプロトコルはクレデンシャル・リプレイの脆弱性という問題にこの数年間、悩まされてきた。被害者が有害なコンピュータとSMB接続を確立するように誘導すると、攻撃者は被害者のコンピュータに対しNTLM認証クレデンシャルを再生、または反映させることができ、それにより被害者の特権を獲得しコンピュータにアクセスできるようになる(この欠陥の詳細については他の英文記事も参照)。マイクロソフトは、この長期に渡る脆弱性を先月公表したWindowsアップデートで修正している(詳細についてはMS08-068またはライブセキュリティ・アラート記事を参照)。
しかし残念なことに、このWMCはユーザのクレデンシャルがユーザのシステムに反映されたりユーザの成りすましに利用されることを防ぐことができる最近のNTLMクレデンシャル反射保護機能を正確に選択しないという面がある。WMCに搭載されているコンポーネントに見られる2つの脆弱性を悪用することで、攻撃者はユーザのNTLMクレデンシャル情報を獲得し、そのクレデンシャルを再生することでユーザのコンピュータにアクセスできるようになる。この攻撃を実行する場合、攻撃者はまずユーザが有害なサーバに行き、認証するように誘導しなければならない。これに成功すると、攻撃者はユーザの認証クレデンシャルを再生し、ユーザの特権を獲得した上で、そのユーザのコンピュータでコードを実行できる。ユーザにローカル管理者の権限がある場合、攻撃者はユーザのPCを完全に操作することができるようになる。場合によっては、攻撃者はこのクレデンシャル反射攻撃を悪用し、ネットワーク・サービス・アカウントと同等の権利を獲得した状態でコードを実行する可能性もある。しかし、このアカウントにあるのは制限付きのユーザ権限や許可権のみである。
【対策】
マイクロソフトはこうしたクレデンシャル反射脆弱性を修正するアップデートをリリースしている。できる限り早急に状況に適したパッチをダウンロードし、テストしてから適用することをすすめる。
日本語版をダウンロードする場合は、「Change Language」のドロップダウン・メニューから「Japanese」を選択すること:
Windows Media Player 6.4アップデートのダウンロード先:
Windows Media形式ランタイム・アップデートのダウンロード先:
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Media Format Runtime 9.5 /11
- Windows Media Format Runtime 9.5 x64版
- Windows Media Format Runtime 11 x64版
- Windows Server 2003
- Windows Server 2003 x64
- Windows Media Format Runtime 9.5
- Windows Media Format Runtime 9.5 x64版
- Windows Media Format Runtime 11 x64版
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
Windows Mediaサービス・アップデートのダウンロード先:
- Windows 2000のWindows Media Services 4.1
- Server 2003のWindows Media Services 9シリーズ
- Server 2003 x64版のWindows Media Services 9シリーズ
- Windows Server 2008のWindows Media Services 2008
- Windows Server 2008 x64版のWindows Media Services 2008
ウォッチガード・ユーザ:
この種の攻撃は、ユーザがインターネットへアクセスできるようにするには許可しておかなければならない通常のHTTPトラフィックに見せかけた状態で移動するため、先に説明したパッチをインストールすることが主な対策となる。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
日本語版:
マイクロソフト・セキュリティ情報:MS08-076
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。