TOP » セキュリティ情報 »

セキュリティ情報

SecurityAlert

  • ウィンドウズのセキュリティ更新プログラム(6件) 2012年1月11日
    ウィンドウズのセキュリティ更新プログラム(6件) 
    深刻なケース(1件)
    ウィンドウズ / メディアコンポーネント / CSRSS/SSL / TLS、他 
          2012年1月11日  
    コーリー・ナクライナー      
    危険度:高  

    概要:
    • 対象: 
      現バージョンのウィンドウズと搭載されているコンポーネント  
    • 悪用方法: 
      罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、 様々な攻撃方法がある 
    • 影響: 
      結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
    • 対策:  
      状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
    詳細:
    今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する 7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと 各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ PC を完全にコントロールすることができる。 
     
    危険性の高い問題から順番にまとめた概要は以下の通り:
    • MS12-004
      ウィンドウズのメディアコード実行の欠陥(2)
    ウィンドウズにはWindows Media PlayerやDirectShowなど、メディア レンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズ メディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。 マイクロソフトの評価:深刻 
    • MS12-001
      ウィンドウズカーネルのSafeSEHバイパスの脆弱性
    ここ何年もの間、マイクロソフトは攻撃者がバッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々なデータ実行防止(DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者がシェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズのStructured Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。 マイクロソフトの評価:重要 
    • MS12-002
      ウィンドウズのオブジェクト パッケージャーにあるコード実行の脆弱性
    マイクロソフトによると、ウィンドウズのオブジェクト パッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC Magazineの用語集によると、それはオブジェクト パッケージャーをObject Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクト パッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクト パッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer 2003 のみである。 マイクロソフトの評価:重要 
    • MS12-003
      CSRSS 特権昇格の脆弱性
    クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズやスレッドの作成・削除の役割を担っているが、CSRSSはローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。 マイクロソフトの評価:重要 
    • MS12-005
      マイクロソフトのClickOnceコード実行の欠陥
    マイクロソフトのClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。 マイクロソフトの評価:重要 
    • MS12-006
      SSL/TLSプロトコルの脆弱性(BEAST攻撃)
    去年9月、Ekoparty セキュリティ コンフィレンスにて、研究家達がBEAST SSL/TLS攻撃のデモを行った。BEASTは[Browser Exploit Against SSL/TLS]の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006 アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。 マイクロソフトの評価:重要  
    解決方法:     マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。 これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで[影響を受けている(または受けていない)ソフトウェア]の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。 
     
    次のリンクは、各セキュリティアドバイザリの[影響を受けているソフトウェアと受けていないソフトウェア]の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。
    解決策: 
    ウォッチガードユーザ専用     攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。  
    ステータス:
    マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  

    参考資料:  
    日本語版セキュリティアドバイザリ一覧 
    この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

    続きを読む»

  • アドビ、Reader と Acrobat の更新プログラムをリリース 2012年1月11日
    アドビ、Reader と Acrobat の更新プログラムをリリース
    2012年1月11日

    コーリー・ナクライナー
    概要:
    • 対象: 
      ウィンドウズ、Mac、UNIXで使用している Adobe Reader、Acrobat X 10.1.1、それ以前のバージョン 
    • 悪用方法: 
      故意に作成した PDF ドキュメントをユーザに閲覧させる 
    • 影響: 
      攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある 
    • 対策:  
      ウィンドウズユーザは、アドビの Reader や Acrobat X 10.1.2 または 9.5 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラム をインストールすることをすすめる
     
    詳細:
    今月のパッチデーで、アドビはAdobe ReaderとAcrobat X 10.1.1(それ以前のバージョンも対象)で発見された6つのセキュリティ脆弱性について説明した セキュリティアドバイザリ をリリースした。アドビはそうした欠陥の技術詳細を説明していないが、ReaderやAcrobatコンポーネント内に見られる問題はメモリ 破損関連が大方だ。故意に作成された PDF ファイルをユーザが開くように攻撃者が誘導した場合、攻撃者はこうしたタイプの問題を悪用し、ユーザの特権を使い、 そのユーザのコンピュータでコードを実行できるようになる。ユーザにローカルやシステム管理者としての特権があれば、攻 撃者はユーザのコンピュータを完全に操作できるようにもなる。 過去に掲載した 記事でも説明したが、定例外にリリースされたアドビの更新プログラムはReaderとAcrobat 9.4.6 およびそれ以前のバージョンにあった2つのゼロデイ脆弱性を修正している。こうしたゼロデイ欠陥は Reader とAcrobat X にも影響を与えているが、アドビは 実社会での悪用においては、Xに搭載している保護機能でこの欠陥の悪用を防げると見ていたため、その時点でX対象の更新 プログラムをリリースしなかった。しかし、今回リリースされたReaderの更新プログラムは ReaderとAcrobat Xで見られる2つの未解決問題を修正している。 【アップデート】アドビが公式にセキュリティアドバイザリを公開してから、無所属の研究家達や組織ら が欠陥詳細に関する情報をシェアしている。技術面に精通しているセキュリティプロで、問題の詳細を知りたいならば次の セキュリティメーリングリストに登録するといいだろう:FullDisclosure / Security Focus  
    解決方法:
    アドビはReaderやAcrobat X 10.1.2(レガシーユーザ対象の9.5も含む)を対象とした更新プログラムをリリースしており、こうした問題を修正できるようにしている。状況に適した更新プログラムを至急ダウンロードし取り入れるか、アドビのソフトウェア・アップデート機能に任せることをすすめる。  
    解決策:ウォッチガードユーザ専用
    ウォッチガードの Firebox シリーズ製品の多くは、PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックをする場合に PDF ファイルをスキャンできることを覚えておこう。大抵、ただ GAV サービスを有効にしておくだけで、このように有名で一般的に見られるセキュリティ脅威からネットワークを守ることができる。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ・ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することができる。  
    ステータス:
    アドビは脆弱性を修正するセキュリティ更新プログラムをリリースしている。  
    参考資料:
    アドビ(日本版)のセキュリティ・アップデート(抄訳) 
     
     
    この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

    続きを読む»

  • ゼロデイ脆弱性を修正するReaderと Acrobat のセキュリティ更新プログラム 2011年12月16日
    ゼロデイ脆弱性を修正するReader と Acrobat のセキュリティ更新プログラム
    2011年12月16日
     
    コーリー・ナクライナー     

    概要:
    • 対象: 
      ウィンドウズ / Mac / UNIX で使用している Adobe Reader、Acrobat 9.x、それ以前のバージョン(厳密にいえば Readerへの影響もあるが、悪用しにくい) 
    • 悪用方法: 
      故意に作成した PDF ドキュメントをユーザに閲覧させようとする 
    • 影響: 
      攻撃者がユーザのコンピュータでコードを実行し、そのコンピュータを完全に操作できるようになる可能性がある 
    • 対策:  
      ウィンドウズ・ユーザは、アドビの Reader や Acrobat X9.4.6 のアップデートを至急インストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる
    詳細:
    過去に掲載した記事でアドビの Reader にあるゼロデイ脆弱性を利用して攻撃者達が特定の業界に攻撃を仕掛けていると警告した。攻撃者達は故意に細工した PDF ファイルをメールに添付し、対象を絞り込んだフィッシングメールで攻撃は仕掛けているのだが、ユーザがその PDF ファイルを開いてしまうと、これまで知られていなかった脆弱性を攻撃者が利用してユーザの特権を使い、ユーザのコンピュータでコードを実行することが可能になってしまう。 アドビは、今週内にそのゼロデイ問題に対応する更新プログラムをリリースすると約束しており、今日、そのプログラムが公開された。このセキュリティアドバイザリによると、定例外にリリースされたこの更新プログラムは一般環境下で攻撃者達が悪用したことがある2つのセキュリティ脆弱性を修正しているという。アドビはこれまでと同様に欠陥の詳細については説明していないが、Reader や Acrobat のコンポーネントであるU3DPRC コンポーネントとのメモリ破損に関係しているとは述べている。先にも説明したが、故意に作成された PDF ファイルをユーザが開くように誘導した場合、攻撃者はこの問題を悪用してユーザの特権でコードを実行できるようになる。また、ユーザにローカルやシステム管理者としての特権があれば、攻撃者はユーザのコンピュータを完全に操作できるようになる。 解決方法: アドビは、ウィンドウズ・システムに見られるこうした脆弱性を修正するウィンドウズ用の Reader や Acrobat 9.4.6 をリリースしている。Mac や Unix など別のプラットフォームで使用している Reader のバージョンも、こうした問題の影響を受けやすいのだが、アドビはそれらを対象とする更新プログラムは 2012年1月10日に予定されている次回の更新プログラム・リリース日まで用意する予定はないという。 また、最近の Reader や Acrobat X (10.1.1) バージョンも、これに対して脆弱なので注意が必要だ。とはいっても、アドビは保護機能が搭載されているXバージョンでこうした欠陥を攻撃者が悪用することはないだろうと見ている。それでもアドビは 1 月に Reader X のセキュリティ更新プログラムをリリースする予定だという。 ウィンドウズ版の Reader や Acrobat 9.x のユーザは、次のアップデートをできる限り早急にインストールするか、アドビのアップデート機能に任せて必要なプログラムをインストールすることをすすめる。  
    解決策: ウォッチガードユーザ専用
    ウォッチガードの Firebox シリーズ製品の多くは PDF ファイルをネットワークから遮断することができるが、大抵の管理者はビジネス上、この種のファイルを許可しておく傾向がある。とはいえ、仕事をする上でどうしても PDF ファイルが必要というのでなければ、更新プログラムをインストールするまでは Firebox の HTTP プロキシや SMTP プロキシを使って PDF ファイルがネットワークに入り込まないようにすることもできる。 ウォッチガードの Gateway Antivirus (GAV) サービスでも、マルウェアチェックとして PDF ファイルをスキャンできる点を覚えておこう。多くの場合、ただ GAV サービスを有効にしておくだけで、有名で一般的なセキュリティ脅威からネットワークを守ることができるのだ。 PDF ドキュメントをネットワークから遮断したい場合は、次の手順を参考にして Firebox プロキシのコンテンツ・ブロック機能を使い、ファイル拡張子別に .pdf ファイルを阻止することが可能だ。  
    ステータス:
    アドビは特定のウィンドウズ・システムで見られる脆弱性を修正するセキュリティ更新プログラムをリリースしている。 また、アドビはこの他のセキュリティ更新プログラムを 1 月にリリースする予定だ。  
    参考資料:       
     
    この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

    続きを読む»

  • WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正 2011年12月15日
    WatchGuard WSM v11.5.1 Update 1 - XSS 欠陥を修正
    2011年12月15日
    コーリー・ナクライナー
    危険度:高
    2011年12月15日

    概要:
    • 対象: 
      WatchGuard System Manager (WSM) v11.5.1 
    • 悪用方法: 
      故意に作成したリンクをユーザがクリックするように誘導したり、細工した悪質なネットワーク・トラフィックをXTMアプライアンスを介して送信し、ウォッチガードのウェブUIにあるログ結果を見せるなど、攻撃方法は複数ある 
    • 影響: 
      最悪の場合は、攻撃者がユーザのブラウザで特権を昇格させた状態でコードを実行、場合によっては、ユーザのウェブ・ブラウザをハイジャックする可能性もある 
    • 対策:  
      都合がつき次第、[WSM 11.5.1 Update 1] をインストールすることをすすめる
    詳細:
    数週間前、ウォッチガードは [Fireware XTM OS] と [WatchGuard System Manager (WSM) v11.5.1] をリリースした。それには、新たにデザインした [Log and Report Manager Web UI] もあり、ロギングやレポートのインターフェイスを大きく改善、これまでに比べ、そのスピードと使い勝手が大幅に向上した。 しかしWSM v11.5.1をリリースしてすぐに、 [Log and Report Manager Web UI] に影響を与えるセキュリティ問題が発見された。そのうち非公開に報告されたものは2件、社内で発見したものは2件あった。[WSM v11.5.1 Update 1] は、それら4件すべてのセキュリティ問題を修正している。 
    • BUG 64549: 
      ログ・メッセージの頑固なXSS 脆弱性(CVE-2011-4774)
      [Log and Report Manager Web UI] が、ログ・データベースから取り出すログ・データをウェブUIで表示する前に適切にサニタイジングしていないことが分った。攻撃者は細工した悪質なトラフィック(故意に作成したメールやFTP接続など)をユーザのXTM アプライアンス経由で送信し、悪質なウェブスクリプトを含むメッセージでユーザのログをいっぱいにすることができる。そして、ユーザがそうしたログを [Log and Report Manager Web UI] で閲覧した場合、クロスサイト・スクリプティング(XSS)脆弱性を誘発することになり、ウォッチガードのウェブUI環境下で攻撃者はユーザのウェブ・ブラウザでスクリプトを実行できるようになる。悪質なログは、ユーザが削除するまでユーザのログ・データベースに残るため、この欠陥は頑固なXSS脆弱性の欠陥となる。
      概して攻撃者達は、XSS攻撃を利用してユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトへの誘導、また脆弱なサイトでユーザとして動くことができる。場合によってはXSS攻撃を利用してユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることも可能だ。とはいっても、この問題の危険性を緩和させる要因がいくつかあり、まず欠陥を悪用するにあたって攻撃者は、ユーザがWSM server でv11.5.1を管理しているという情報を掴んでいなければならない。また、細工した悪質なトラフィックをユーザのXTMアプライアンス経由で送信しなければならないほか、トラフィックを許可するポリシーも必要となる。この攻撃により、ユーザのウェブ・ブラウザで攻撃者が特権を昇格させることも可能な場合はあるが、攻撃者はXTMアプライアンスへのアクセス権を得ることも、ファイアウォールのルールを変更することもできない。それでもウォッチガードとしては、これをかなり深刻な問題として見ており、できる限り早急にアップデートすることをすすめている。 
       
      この場をお借りし、この欠陥について我々に連絡して下さったSec-1ウェイン・マーフィー氏に御礼申し上げます。
      危険度:高 
    • BUG 64551: 
      URL パラメータの      反射型XSS脆弱性(CVE-2011-4774)
      [Log and Report Manager Web UI] は、特定のURLパラメータに入力された情報も、適切にサニタイジングしていない。細工した悪質なリンクをユーザがクリックするように誘導したり、URLパラメータを傍受したり変更したりすることで、攻撃者は欠陥を悪用して別のXSS脆弱性を誘発させることができる。この欠陥による影響力は、先に説明したものと同じだ。攻撃者は、これを利用してウェブ・クッキーを盗んだり、ユーザのウェブ・セッションをハイジャックしたり、[Log and Report Web UI] でユーザのように動きが取れるようになる。この攻撃は、ユーザが有害なリンクをクリックした時に限り一度だけ起きるので反射型XSS欠陥であるといえる。
      先に説明した欠陥と似たように、この欠陥を悪用するにあたり攻撃者は、まずユーザがXTMアプライアンスでv11.5.1を管理しているという情報を掴んでいなければならない。また、攻撃者は有害なリンクをユーザがクリックするように誘導しなければならないため、上記の問題に比べると危険性は低いといえる。 
       
      この場をお借りし、この欠陥について我々に連絡して下さったSec-1ウェイン・マーフィー氏に再度、御礼申し上げます。
      危険度:中 
    • Nessus報告による危険性の低い2つの脆弱性
      社内テストで Nessus スキャンをかけた結果、マイナーなセキュリティ問題2件を [Log and Report Web UI] で発見した。この問題の詳細については、次のリンクを参照:
      どちらのケースにおいても、ユーザのWSMサーバは XTM アプライアンスで保護しているため、外部の攻撃者が、このようなマイナーな欠陥を悪用する可能性は低い。これによるリスクは実に低いものと我々は見ているが、それでもできる限り早急に Update 1を取り入れることをすすめる。
      危険度:
     
    解決方法:
    [WSM v11.5.1 Update 1] は、4件すべてのセキュリティ問題を修正している。XTMアプライアンスでWSM v11.5.1をインストールした管理者は、都合がつき次第 Update 1をダウンロードし、インストールしておくことをすすめる。  
    FAQ:     他のウォッチガード製品への影響は?
    ありません。我々が知る限り、この脆弱性が影響しているのは新しい [WSM v11.5.1 Log and Report Manager Web UI] のみです。  
    脆弱性は?
    こうした4つの脆弱性の中で、もっとも悪質なのはクロスサイト・スクリプティング(XSS)脆弱性で、ウォッチガードのウェブ UI 環境下で攻撃者がユーザのウェブ・ブラウザでスクリプトを実行できるようにするものです。概して攻撃者達はXSS攻撃を利用して、ユーザのウェブ・クッキーを盗んだり、ウェブ・セッションをハイジャックしたり、有害サイトにユーザを誘導したり、脆弱なウェブサイトでユーザとして動きを取れるようになります。場合によっては、攻撃者が XSS 攻撃を利用して、ユーザのウェブ・ブラウザをハイジャックし、ユーザのコンピュータで未認証アクセス権を得ることもできます。とはいっても、攻撃者達がこれを利用し、ユーザのXTMアプライアンスへのアクセス権を獲得したり、ファイアウォールのルールを変更したりすることはできません。  
    この脆弱性はかなり深刻ですか?
    XSS脆弱性2件はかなり深刻であると我々は捉えています。けれど、攻撃者が実社会において欠陥を悪用することを限定する要因もいくつかあります。概してXSS欠陥は非常に危険なものです。[Browser Exploitation Framework (BeEF)] のようなツールは、攻撃者が簡単なXSS欠陥を利用して、ユーザのブラウザを大きくコントロールし、ユーザのコンピュータにおいても、その力が及ぶ可能性があることを例証しています。とは言うものの、XSS 脆弱性を悪用するには攻撃者達がユーザそしてその組織について十分な情報を把握していなければなりません。特に、ユーザがWSM v11.5.1サーバを管理しているということを知っておく必要があるほか、ユーザにリンクをクリックさせるように誘導したり、ウェブUIにある特定のログ・メッセージをユーザが閲覧するようにしなければならないため、これは対象を絞り込んだ攻撃であるといえるでしょう。ちなみに、こうした欠陥は攻撃者にユーザのXTMアプライアンスへのアクセス権を与えることはしません。とはいっても、セキュリティ会社のウォッチガードとしては、弊社製品におけるあらゆる種類の脆弱性を非常に深刻に捉えていますので、ユーザの皆様には [WSM v11.5.1 Update 1] をできる限り早急にインストールいただくよう、おすすめしています。  
    Update 1をインストールする他に、回避策はありますか?
    とくにありません。悪質なフィッシング・リンクをクリックしなければ、攻撃者がこの反射型XSS攻撃を悪用することはできません。とはいっても、実に腕の立つセキュリティのプロでさえ、時々間違ったリンクをクリックしてしまうことはあります。XTMアプライアンスで、受信用トラフィックを一切許可していなければ、攻撃者は細工した悪質なメッセージでユーザのログファイルに罠を仕掛けることはできないかもしれません。ただ、大方の組織では少なくともメール・トラフィックを許可するポリシーがあるので、それだけでも外部攻撃者がユーザのログを破損させる可能性につながります。このため、ウォッチガードでは [WSM v11.5.1 Update 1] をインストールし、問題を修正することをおすすめしています。  
    ホットフィックスを入手するには?
    現在、ウォッチガードのサポートセンターにある [Articles & Software] で [WSM 11.5.1 Update 1] を入手することができます。XTMアプライアンスは [Management Software] にあります。  
    どうやって問題を発見したか?
    脆弱性4件中2件は、Sec-1 (@Sec1Ltd) のウェイン・マーフィー氏が発見し、未公開の状態でウォッチガードがその報告を受けました。この場をお借りして、弊社お客様の安全維持にご協力頂いたマーフィー氏に感謝申し上げます。また、他2件は社内で発見しました。  
    この脆弱性が一般環境下で悪用されている兆しはありますか?
    ありません。現時点において、この脆弱性が一般の環境下で悪用されているという兆しはありません。また、今後その可能性は大きくないと我々は見ています。  
    他にも質問がある場合は、ウォッチガードの誰に連絡をすればいいですか?
    この問題に関して他に質問がある場合、またはウォッチガード製品関連その他セキュリティについて懸念があれば、次の連絡先までお問い合わせください。  
    コーリー・ナクライナーCISSP     
     
    シニア・ネットワーク・セキュリティ・ストラテジスト 
    WatchGuard Technologies, Inc. 
     
    http://www.watchguard.com(本社) 
    http://www.watchguard.co.jp(日本) 
     
    corey.nachreiner@watchguard.com 

    続きを読む»

  • ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正 2011年12月13日
    ウィンドウズ・セキュリティ更新プログラム (7) - Duqu ゼロデイなど 3 つの深刻な欠陥を修正
    2011年12月13日

    コーリー・ナクライナー
    カーネルモード・ドライバ、Windows Media Player、Active Directory、その他
    危険度:高

    概要:
    • 対象: 
      現バージョンのウィンドウズと搭載されているコンポーネント  
    • 悪用方法: 
      有害なウェブサイトにユーザを誘導したり、罠を仕掛けたファイルを開くように仕向けるなど、様々な攻撃方法がある 
    • 影響: 
      結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる  
    • 対策:  
      状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、 ウィンドウズの自動アップデート機能に任せることをすすめる
    詳細:
    今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響を与えている 7 つの脆弱性について、セキュリティアドバイザリを7 件リリースした。各脆弱性の対象となるウィンドウズ・バージョンと影響は異なるが、 リモート攻撃者はその中でも悪質な欠陥を利用しユーザのウィンドウズ PC を完全にコントロールできるようになる。  
     
    危険性の高い問題から順番にまとめた概要は以下の通り:
    • MS11-087
      カーネルモード・ドライバ TrueType フォント解析の脆弱性
    カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素となる部分だ。 ウィンドウズには様々なカーネルレベルのデバイスを処理するカーネルモード・デバイス・ドライバ(win32k.sys)も搭載されている。 しかし、カーネルモード・ドライバは TrueType フォントを適切に解析できないことから、入力確認における脆弱性の影響を受けている。 有害なウェブサイトにユーザを誘導したり、特別に細工したドキュメントを開かせたり、 悪質なプログラムを実行させるように導くなどして攻撃者は欠陥を悪用し、 ユーザのウィンドウズ・コンピュータを完全に操作できるようになる。 
     
    今現在、攻撃者達はDuquマルウェアを使ってこの脆弱性を一般環境下で悪用している。 一般的な悪用方法として見られるのは、攻撃者が有害な Office ドキュメントをメールに添付させた [スピアフィッシングメール] を送信する方法だ。添付ファイルはTrueTypeの処理機能で見つかった欠陥を利用し、悪質な Duqu ワームをユーザのコンピュータに入れることができる。こうした理由から、 できる限り早急に更新プログラムを取り入れることをすすめる。 マイクロソフトの評価:深刻 
    • MS11-090
      タイムリモートのコード実行問題(+ActiveX kill bits)
    このセキュリティアドバイザリは、ウィンドウズのマイクロソフト・タイムコンポーネントで実行されるリモートコードを修正している。 マイクロソフトは、このタイムコンポーネント問題について詳細を説明していないのだが、タイムコンポーネントの [バイナリ ビヘイビア] を不適切に使用してしまうとシステム状態の破損につながる可能性があり、その場合は攻撃者がコードを実行し ユーザのコンピュータを完全に操作できるようになる可能性があるという点については説明がされている。 もちろん、攻撃者がこの欠陥を悪用するには、まず細工したサイトにユーザを誘導しなければならない (もしくは攻撃者の有害なサイトにリンクしている正当なサイトへの誘導が必要)。 この欠陥はウィンドウズのコンポーネントに影響を与えているが、 Internet Explorer (IE) がコンポーネントとの相互作用をする点にも関与している。幸い、この欠陥の影響を受けやすいのは IE 6 とそれ以前のバージョンに限り、最近のバージョンを使用している場合においては問題ないだろう。 とはいっても、ウィンドウズのタイムコンポーネントに欠陥があるため、そのアップデートをしておくことをすすめる。 マイクロソフトの評価:深刻 
    • MS11-092
      Windows Media Player DVR-MS メモリ破損の脆弱性
    ウィンドウズ・バージョンには(XP / Vista / 7)、Media Player やメディアセンターを搭載しているものもある。それは便利なインターフェースを通じてユーザのメディアを整理したり 閲覧したり聴けるようにするものなのだが、Media Player は特別に細工されたマイクロソフトのデジタルビデオ録画 (.dvr-ms) のメディア・ファイルを適切に処理できず、メモリ破損の脆弱性の影響を受けている。細工した.dvr-ms ファイルをユーザが開くように誘導すると、攻撃者はこの欠陥を悪用し、 そのユーザの特権で悪質なコードを実行できるようになる。ユーザがローカル管理者の特権を持っていた場合、 攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 マイクロソフトの評価:深刻 
    • MS11-093
      OLE リモートのコード実行問題
    オブジェクトのリンクと埋め込み (OLE)は、ウィンドウズが特別な複合文書を処理できるようにするプロトコルだ。そうした文書には、 別のフォーマットと種類のドキュメントにつながる埋め込みリンクが含まれている。 
     
    しかし、OLE は文書内にある細工済み OLE オブジェクトを適切に処理できない点に関与する、 未特定のオブジェクト処理欠陥の影響を受けている。攻撃者が細工したドキュメントをユーザが開くと、 攻撃者は欠陥を悪用してユーザの特権を利用しながら、そのコンピュータでコードを実行できるようになる。 また、ユーザがローカル管理者の特権を持っていた場合、攻撃者はユーザのコンピュータを完全に操作できるようにもなる。 マイクロソフトのOfficeドキュメントや第三者による様々なファイルには、この欠陥を悪用するために使われる OLE オブジェクトを入れることが可能だ。 マイクロソフトの評価:重要 
    • MS11-095
      Active Directory バッファオーバーフローの脆弱性
    ウィンドウズ用の集中認証や認証サービスである Active Directory (AD) は、ウィンドウズ・サーバ版に搭載されているのだが、AD は特別に細工されたクエリを処理できない点に関与するバッファオーバーフロー問題の影響を受けている。細工したプログラムを実行すると、 ローカル攻撃者は欠陥を悪用してユーザの AD サーバでコードを実行し、そのコンピュータを完全に操作できるようになる。しかし、 攻撃者がこの欠陥を利用するには有効なドメインユーザのクレデンシャルが必要となるため、 その危険性は大幅に低下するので、この脆弱性は主に内部脅威であるといえるだろう。 マイクロソフトの評価:重要 
    • MS11-097
      CSRSS 特権昇格の脆弱性
    クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに不可欠なコンポーネントであり、 コンソールウィンドウズ、 スレッドの作成・削除の役割を担っている。攻撃者が特別に細工したアプリケーションを実行すると、 攻撃者は欠陥を利用して特権昇格 (EoP) を行ったり、ユーザのウィンドウズ・マシンで SYSTEM レベルのコントロール権を自分のものにすることができる。 しかし攻撃者がそのプログラムを実行できるようにするには、まずユーザのウィンドウズへ有効なクレデンシャルを使った ローカルアクセス権が必要となるため、この脆弱性によるリスクは大幅に低下する。 マイクロソフトの評価:重要 
    • MS11-098
      カーネル特権昇格の脆弱性
    カーネルは、あらゆるコンピュータにおいてオペレーティングシステムのコア構成要素な部分だが、 ウィンドウズ・カーネルは特権昇格(EoP)問題の影響を受けている。先の CSRSS と似たように、細工したプログラムを実行すると認証済みの攻撃者は欠陥を悪用してユーザのウィンドウズ・ コンピュータを完全に操作できるようになる。しかし、この問題においても攻撃者は有効なクレデンシャルを使ったユーザの ウィンドウズへのローカルアクセス権が必要となる。ちなみに、この欠陥においてウィンドウズの 64-bit や Itanium 版への影響はない。 マイクロソフトの評価:重要  
    解決方法:     マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので、 状況に適したプログラムを至急ダウンロードしテストしてからネットワーク全体に取り入れることをすすめる。 また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。  
     
    注意:日本語版をダウンロードするには [Change Language:] と表記されたドロップダウンから [Japanese] を選択すること。 MS11-087: MS11-090: * Server Core インストールへの影響なし MS11-092: MS11-093: MS11-095: Active Directory 更新プログラム: MS11-097: MS11-098:  
    解決策: ウォッチガードユーザ専用
    攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくるが、適切に設定してあるファイアウォールならば、こうした問題によるいくつかのリスクを緩和させることが可能だ。また、 欠陥を悪用するために必要なコンテンツには、WatchGuard のプロキシポリシー設定でブロックできるものもある。とはいっても、WatchGuard のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。  
    ステータス:
    マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
    参考資料:
    マイクロソフトのセキュリティアドバイザリ一覧 
     
     
    この記事はコーリー・ナクライナー CISSP により調査され書かれたものです。

    続きを読む»

ホワイトペーパー

WatchGuard Wire

導入事例

  • WatchGuard XTM 505導入事例:住商モンブラン株式会社
    WatchGuard XTMは、最新のセキュリティ機能「アプリケーション・コントロール」が決め手でした。さらに、セキュリティの「見える化」にも満足しています。

    続きを読む»

  • WatchGuard XTM 530導入事例:京都コンピュータ学院
    日本最初のコンピュータ教育機関の京都コンピュータ学院では、自由を旨とした教育を行っているが、このところ増えてきたP2Pや帯域をとる動画通信に悩んでいた。対策として、WatchGuard XTM 530を導入し、アプリケーション制御を行っている。同校に訪問し、総合情報システム部室長の栗田量夫氏に選んだ理由を伺った。

    続きを読む»

  • WatchGuard Firebox X Core導入事例:大江戸温泉物語株式会社
    江戸の町並みを再現した温泉テーマパークとして、人気を博している「大江戸温泉物語」。東京お台場にあるこの施設のほか、全国12拠点にホテルや温泉施設を展開する大江戸温泉物語株式会社は、この度、セキュリティ対策の強化を図るため、Firebox X Coreを導入した。大江戸温泉物語株式会社 事業開発部の橋本 大輝氏に、その導入の経緯や効果についてお話を伺った。(写真右は株式会社コムネットシステム 小倉 大門氏)

    続きを読む»

  • WatchGuard Firebox導入事例:柄谷工務店

    尼崎市に本社を持ち阪神エリアの建築・土木工事を行う柄谷工務店は、このたび Firebox を導入、本社と35ある拠点をVPNで接続した。早いところでは1ヶ月で撤収してしまうという流動的な仮設事務所の回線も、Fireboxによってスピーディに設定することが可能になった。同社でシステムを担当する 横川、一芝両氏に詳しく伺った。

    続きを読む»

  • WatchGuard Firebox X Peak導入事例 三生医薬
    ケース・スタディのダウンロード
    1.0MB PDF

    健康食品やサプリメントなどのカプセル受託製造専門の三生医薬会社は、通信インフラの老朽化に伴い、ネットワークを刷新。静岡県富士宮市の本社工場をはじめ、関東、関西、東海地区に点在する8拠点を結ぶ仮想プライベートネットワーク(VPN)の構築にWatchGuardのFirebox Xを採用した。

    ネットワークの構築を担当したIT室 室長の堀 敦史氏に詳しくお話を伺った。

    続きを読む»

SecurityAlertの最新記事
ホワイトペーパーの最新記事
WatchGuard Wireの最新記事
導入事例の最新記事