ウィンドウズのセキュリティ更新プログラム(6件)
深刻なケース(1件)
ウィンドウズ
/ メディアコンポーネント
/ CSRSS/SSL / TLS、他
2012年1月11日
コーリー・ナクライナー
危険度:高
概要:
- 対象:
現バージョンのウィンドウズと搭載されているコンポーネント
- 悪用方法:
罠を仕掛けたメディア、ドキュメント、その他のファイルをユーザがダウンロードし開くように仕向けるなど、
様々な攻撃方法がある
- 影響:
結果は様々だが、最悪の場合は攻撃者がユーザのウィンドウズを完全に操作できるようになる
- 対策:
状況に適したマイクロソフトのセキュリティ更新プログラムを至急インストールするか、
ウィンドウズの自動アップデート機能に任せることをすすめる
詳細:
今日、マイクロソフトはウィンドウズとそれに搭載されているコンポーネントに影響する
7 つの脆弱性について、6 件のセキュリティアドバイザリをリリースした。各脆弱性の対象となるウィンドウズのバージョンと
各影響は異なるが、リモート攻撃者は、中でも悪質な欠陥を利用してユーザのウィンドウズ
PC を完全にコントロールすることができる。
危険性の高い問題から順番にまとめた概要は以下の通り:
ウィンドウズにはWindows
Media PlayerやDirectShowなど、メディア レンダリング機能が搭載されている。ユーザはそうした機能を使い、様々な種類のマルチメディアを再生することができるのだが、残念ながら、その2つのウィンドウズ
メディアコンポーネントは、コード実行脆弱性の影響を受けている。欠陥の技術面は各自異なり、影響を及ぼすコンポーネントも別ではあるが、その作用範囲と影響力は同じだ。攻撃者は細工したメディアファイルをユーザが開くように誘導して欠陥を悪用し、そのユーザの特権を利用した上で悪質なコードをユーザのコンピュータで実行することができる。大抵のウィンドウズユーザは、ローカル管理者の特権を持っているため、攻撃者がこうしたタイプの欠陥を悪用してユーザのコンピュータを完全に操作できるようになる可能性は大きい。
マイクロソフトの評価:
深刻
ここ何年もの間、マイクロソフトは攻撃者が
バッファオーバーフロー攻撃などのメモリ破損の脆弱性を利用した攻撃を仕掛けにくくするように構築された様々な
データ実行防止(DEP)機能をWindowsに取り入れている。ここではその詳細説明は省くが、DEP機能は、大方の場合、通常ならば実行不可能なデータ用にリザーブしているメモリロケーションから攻撃者が
シェルコードをインジェクトし実行することを困難にさせている。SafeSEHは別のDEP関連機能で、バッファオーバーフロー攻撃の最中に攻撃者がウィンドウズの
Structured
Exception Handler (SEH)をハイジャックすることを妨げようとするものだ。しかし、外部のある研究家がウィンドウズのSafeSEHセキュリティ機能を迂回できる方法を発見したのである。それ自体ではセキュリティ迂回の欠陥はウィンドウズにおいて直接的な脆弱性ではない。つまり、攻撃者は直接それを利用して、ユーザのコンピュータを操作することはできない。とはいっても、攻撃者が新しいバッファオーバーフローの脆弱性をウィンドウズで発見した場合、SafeSEHの欠陥は攻撃者がウィンドウズのDEP保護機能を迂回しやすくし、バッファオーバーフロー攻撃を悪用することが可能になる。
マイクロソフトの評価:
重要
- MS12-002:
ウィンドウズのオブジェクト
パッケージャーにあるコード実行の脆弱性
マイクロソフトによると、
ウィンドウズのオブジェクト
パッケージャーは「ファイルに挿入できるパッケージの作成に使えるツール」だという。実に漠然とした定義だ。PC
Magazineの
用語集によると、それはオブジェクト
パッケージャーを
Object
Linking and Embedding (OLE)に関連させるもの、マイクロソフトのドキュメントを別のドキュメント内に埋め込めるようにするマイクロソフトの技術、とある。どちらにしても、ウィンドウズのオブジェクト
パッケージャーは未特定の実装欠陥の影響を受けていることにはかわりない。攻撃者は、有害である可能性を持つ実行可能ファイルをユーザが誤って実行するように罠を仕掛けてそれを利用する。攻撃者は、有害な実行可能ファイルと同じシェアもしくは同じネットワークロケーションにある、特別にパッケージしたオブジェクトを入れた正当なファイルに見せ掛けたファイルをユーザが開くように誘導することで、攻撃者はユーザが特に何もしなくてもそのファイルを強制的に実行させることができる。とはいっても、このオブジェクト
パッケージャーの欠陥の影響を受けているのはウィンドウズXPとServer
2003 のみである。
マイクロソフトの評価:
重要
クライアント/サーバ・ランタイム・サブシステム(CSRSS)は、ウィンドウズに必要不可欠なコンポーネントであり、コンソールウィンドウズや
スレッドの作成・削除の役割を担っているが、CSRSSは
ローカル特権昇格問題の影響を受けていることが分った。攻撃者は特別に細工したアプリケーションを実行することで、実際の自分のユーザ特権のレベルにかかわらず欠陥を利用してシステムのフルアクセス権でコードを実行できる。しかし、攻撃者がそのプログラムを実行できるようにするには、まず有効なクレデンシャルで、ユーザのウィンドウズへのローカルアクセス権を必要とするため、この欠陥によるリスクを大幅に緩和させている。
マイクロソフトの評価:
重要
マイクロソフトの
ClickOnce は、インストールが簡単でセルフアップデートできるウィンドウズのアプリケーションを開発者達が製作しやすくする配置技術だが、ClickOnceアプリケーションはインストールが簡単すぎることが分かった。マイクロソフトは、パッケージャーの安全ではないファイルリストにClickOnceをまだ入れていないため、ClickOnceアプリケーションを入れた悪質なOfficeドキュメントをユーザが開くとそれが自動的に実行されてしまう。攻撃者はこの欠陥を利用して、無害に見えるドキュメントをユーザが誤って開くことでマルウェアをインストールするように仕向けることができる。
マイクロソフトの評価:
重要
去年9月、Ekoparty
セキュリティ コンフィレンスにて、研究家達がBEAST
SSL/TLS攻撃のデモを行った。BEASTは[Browser Exploit Against
SSL/TLS]の略で、SSL/TLSプロトコルの脆弱性を利用しHTTPSリクエストを妨害・解読することを可能にする。
『The Register』の記事には、BEASTツールやこの攻撃についての高度で質の良い説明を出している。マイクロソフトのMS12-006
アップデートは、この SSL/TLS プロトコルの脆弱性を緩和させている。
マイクロソフトの評価:
重要
解決方法:
マイクロソフトは、こうした問題をすべて修正できるウィンドウズ対象の更新プログラムをリリースしているので状況に適したウィンドウズのプログラムを至急ダウンロードし、テストしてからネットワーク全体に取り入れることをすすめる。また、ウィンドウズの自動アップデート機能に任せて必要な更新プログラムをインストールする方法もある。
これまで我々はマイクロソフトのセキュリティアドバイザリに掲載されているセキュリティ更新プログラムへのリンクを各アラートに載せてきたが、マイクロソフトは自社のセキュリティアドバイザリに更新プログラムへのリンクをわかりやすくまとめているので、今後はここで提供せずに、直接マイクロソフトのサイトで[影響を受けている(または受けていない)ソフトウェア]の項目を参照してもらうようにしていく予定だ。意見・感想があれば記事の最後にあるコメント欄に投稿して欲しい。
次のリンクは、各セキュリティアドバイザリの[影響を受けているソフトウェアと受けていないソフトウェア]の項目につながっており、セキュリティ更新プログラムへのリンクはそこから探すことができる。
解決策:
ウォッチガードユーザ専用
攻撃者達は様々な悪用方法を使ってこうした欠陥を悪用してくる。状況に適したように設定してあるファイアウォールは、こうした問題によるいくつかのリスクを緩和させることができる。また、WatchGuard
のプロキシポリシーは、欠陥を悪用するために必要なタイプのコンテンツのいくつかをネットワークから阻止できるように設定できるものもある。とはいっても、WatchGuard
のアプライアンスでローカル攻撃を阻止することはできず、通常のHTTPトラフィックを利用する攻撃を阻止することもできないので、マイクロソフトが用意したセキュリティ更新プログラムをインストールすることがもっとも安全な対策といえるだろう。
ステータス:
マイクロソフトは脆弱性を修正するセキュリティ更新プログラムをリリースしている。
参考資料:
日本語版セキュリティアドバイザリ一覧
この記事はコーリー・ナクライナー
CISSP により調査され書かれたものです。
