3月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは14日、月例セキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今月公開されたセキュリティ更新は事前の予告通り6件で、深刻度の内訳で見ると、深刻度が最も高い“緊急”のセキュリティ更新は1件、2番目に高い深刻度“重要”が4件、3番目の“警告”が1件となっている。

 では、今回は深刻度「緊急」の1件と、ちょっと興味深い「警告」の1件について、その内容を見ておこう。

MS12-020:リモートデスクトップの脆弱性により、リモートでコードが実行される(2671387)

 このセキュリティ更新プログラムは、一般には非公開でマイクロソフトに報告された、以下2件のリモートデスクトッププロトコル(RDP)の脆弱性を解決するものだ。

・リモートデスクトッププロトコルの脆弱性 - CVE-2012-0002
・ターミナルサーバーのサービス拒否の脆弱性 - CVE-2012-0152

 より深刻なのは、最初の「CVE-2012-0002」の方だろう。対象となるソフトが、Windows 7/Vista/XP 、Windows Server 2008 R2/2008/2003(それぞれ64ビット版を含む)と多く、リモートコード実行の危険性があるためか、いずれも深刻度が最も高い“緊急”とされている。

 この脆弱性の内容だが、特別に細工された一連のRDPパケットを処理する際に、メモリ内の正しく初期化されていないオブジェクトまたはメモリから削除されたオブジェクトにアクセスしてしまうというものだ。結果としてメモリ破壊を起こし、リモートからの悪意のプログラム実行が可能となる。

 標的となるPCのOSが、Windows XPまたはWindows Server 2003だった場合、この脆弱性を使って、リモートの認証を受けていない攻撃者が、悪意の細工されたRDPパケットを送信することで、PCを乗っ取ることが可能になる。

 また、標的が「ネットワークレベル認証」が無効化された Windows 7/VistaまたはWindows Server 2008 R2/2008の場合も同様だ。

 乗っ取った後のPCは、悪意のユーザーが管理者権限を入手できるので、PCを完全に乗っ取り、プログラムのインストールや、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりすることが可能だ。

 他方、「CVE-2012-0152」は、対象となるソフトはWindows 7とWindows Server 2008 R2のみ、内容もサービス拒否のみで、深刻度もWindows 7では“警告”、Windows Server 208 R2では“重要”となっている。

 RDPは標準ではどのWindows OSでも有効になっていないため、リモートデスクトップを有効にしていないPCではこの攻撃にさらされることはない。とはいえ、一般ユーザーでも無意識に「有効にする」をしている場合もあるので一応確認しておくといいだろう。また、企業ではメンテナンス用などでリモートデスクトップを利用している場合が多いので、より注意が必要だろう。

 ちなみに、このセキュリティパッチは、システムのリモートデスクトップ機能が有効になっているかどうかには関係なく、Windows Updateなどから無条件で適用されるようになっている。

MS12-019:DirectWriteの脆弱性により、サービス拒否が起こる(2665364)

 「MS12-019」は、深刻度は“警告”とそれほど高くないのだが、一般ユーザーが攻撃を受けうるという意味で解説しておこう。興味深い脆弱性だ。

 このセキュリティ更新が修正する脆弱性は、「DirectWriteアプリケーションのサービス拒否の脆弱性 - CVE-2012-0156」というものだ。

 対象となるソフトウェアは、Windows 7/VistaおよびWindows Server 2008 R2/2008(それぞれ64ビット版を含む)となっている。

 この脆弱性の内容だが、これらのOS上のアプリがDirectWriteを利用している場合、そのアプリに悪意の細工がされたUnicode文字列が送られるとアプリが応答しなくなるという、サービス拒否攻撃を受ける可能性があるものだ。

 DirectWriteはDirectXのAPI群の1つで、Unicode文字列を画面に表示でき、また、画面解像度に依存しないアウトラインフォントを表示できるなどの特長があり、しばしばWindows上のアプリケーションで使われている。

 たとえば、「あるUnicode文字列をメッセンジャーアプリに送ることで、相手のPCのアプリをハングアップさせる」であるとか、「ウェブサイトに悪意のUnicode文字列を書いておいて、標的ユーザーにそのページを表示させてブラウザーをハングアップさせる」というような攻撃が考えられる。

 マイクロソフトは、この脆弱性を「攻撃を受けたアプリケーションが止まってしまう可能性があるだけ」としているが、攻撃方法が単純なだけに、ちょっとしたいたずらなどに使われるようになる可能性は高いのではないかと思える。しかも、マイクロソフトによれば、「この脆弱性情報はすでに一般に知られていた」としている。

 こうした攻撃を受けたくなければ、早めにパッチを適用しておいたほうがいいかもしれない脆弱性だ。


関連情報


(大和 哲)

2012/3/15 11:54