● 過去に悪用コードが出回った脆弱性に類似したものを警戒すべき
マイクロソフトは、月例のセキュリティ更新プログラムとセキュリティ情報提供を6月15日未明に公開した。
今回リリースされたセキュリティ更新プログラムは10件で、そのうち3件が最も深刻度の高い「緊急」とされている。この深刻度は、インターネットからのアクセスで悪用が可能か、ローカルexploitなのか、乗っ取れる権限が管理者なのか一般ユーザーなのかなどによって4段階に分けられているのだが、セキュリティを考えると、インターネットからアクセスが可能で、管理者権限を乗っ取り、手軽に悪用できるようなexploitコードが公開されるのが最悪であると言えるだろう。
exploitコードとは、システムに存在する脆弱性を実証するためのプログラムリストなのだが、プログラミング技術を持つものが見れば、悪用プログラムに書き換えることはそれほど難しくない場合がある。
たとえば、最近の例では、「PNG 処理の脆弱性により、バッファオーバーランが起こる(MS05-009)」という情報とセキュリティ修正パッチが2月に公開されたのだが、その後、悪用プログラムがインターネット上で出回っていた。
ちなみに、筆者が見たプログラムでは、コマンドラインプログラムにあるURLを指定すると、そのURLからプログラムをダウンロードして実行させる命令が含まれるPNG画像が生成されるという悪用プログラムとなっていた。トロイの木馬プログラムをWeb上に置き、この方法で作った画像をMSN Messangerを使って送付すれば、特定のユーザーのPCにトロイの木馬を手間なく仕掛けられるという大変危険なものだ。
このほか作者の知る限りでは、2月の「OLE および COM の脆弱性により、リモートでコードが実行される(MS05-012)」、4月公開の「メッセージキューの脆弱性により、コードが実行される(MS05-017)」、同じく4月公開の「Exchange Server の脆弱性により、リモートでコードが実行される (MS05-021)」などのexploitや、セキュリティホールを悪用するプログラムが配布されている。
このようなexploitコード・悪用コードが開発され、出回るまでのサイクルがかなり早くなってきているように筆者は思う。特に、MS05-009の場合は、公開から出回るまでわずか数日、MS05-017,021も公開から1カ月ほどで出回っている。
緊急の脆弱性の中でも、とくに、過去において悪用コードが広く出回った、素早く出回ったというようなものがあった場合、早めにWindows UpdateやWSUS(Windows Server Update Services)でパッチを当てるように心がけるべきだろう。
● 今月の「緊急」セキュリティホールは3件、1件は特に危険か
今月は3件の重要度「緊急」のセキュリティ情報がある。2件がInternet Explorer関連、もう1件はファイルプリンタ共有に使われるサービスに関するものだ。
緊急 |
MS05-025 | Internet Explorer 用の累積的なセキュリティ更新プログラム |
MS05-026 | HTML ヘルプの脆弱性により、リモートでコードが実行される |
MS05-027 | サーバーメッセージブロックの脆弱性により、リモートでコードが実行される |
MS05-025には、2つの脆弱性に関する更新が含まれている。1つは、PNG画像に関するもので、PNG画像中に不正なコードを埋め込むことにより、そのコードの実行が可能になるというもの。もう1つは、XMLコンテンツの扱いに関するもので、あるXMLコンテンツを表示するためのリクエストをする際に、マシン内の情報が漏洩する可能性がある、というものだ。
このうち、PNG画像に関する脆弱性に関しては、重要度が緊急とされている脆弱性の中でも特に注意を要するものではないかと筆者は考える。というのも、公開されている情報からexploitを作る方法が比較的類推しやすく、しかも以前にMS05-009でPNGを利用した悪用プログラムが開発されかなり広く出回ったことから、同じような悪用プログラムを作ろうという動機になりやすいだろうと考えるからだ。また、こうした悪用がなされた場合、Webサーバーをクラックし、ウイルスやトロイの木馬を置いてばらまくなどといった、最近頻発しているクラックの効果が非常に大きくなるだろうと考えられるからだ。
できるだけ早急に今月のWindows Updateなどを通じてセキュリティパッチを当てておくべきだろう。
MS05-026は、セキュリティコンサルタント会社eEyeによって発見された障害だ。.CHM形式のWindowsヘルプファイルにハンドリングに関するもので、MS-ITSプロトコルを利用し「ms-its:\\サーバ名\\file.chm:/label.htm」として、不正なヘルプファイルをWindowsヘルプコンポーネントに読ませることで、内部で使われるInternet Explorerの脆弱性を利用する。
このセキュリティホールに関しては、マイクロソフトからセキュリティパッチが提供されているほか、eEyeの解説からファイルの特徴(バッファオーバーフローを利用し、ヘルプファイル内部のある地点からプログラムとして利用するため、その呼び出しなどに特徴的なコードが出現する)などが解説されている。したがって、ウイルス対策ソフトメーカーなどの対応も早めに行なわれる可能性もある。ウイルス対策ソフト、パーソナルファイアウォールなどを利用している場合は、しばらくこまめにウイルス定義パターンファイルの更新などを心がけるとより安心だろう。
MS05-027は、「サーバー メッセージ ブロック (SMB) 」に関するもので、リモートからコードを送りつけて、管理者権限を乗っ取り、任意のコードを実行させられるセキュリティホールだ。ただし、SMBはWindowsファイル共有、プリンタ共有などに使われるプロトコルで、LAN外にポートを開く必要性がないため、ルータなどで閉じてしまえば影響はさほど大きくならないだろう。もし、現在開いている場合は、以前同じようにSMBの脆弱性を利用したウイルスが出回ったこともあるので、閉じておく方が賢明だろう。
● Windows以外にも多く存在するtelnetの問題も
今月の他のセキュリティ情報としては、2番目に高い緊急度「重要」が4件、警告が3件だった。
重要 |
MS05-028 | WebClientサービスの脆弱性によりリモートでコードが実行される |
MS05-029 | Exchange Server 5.5のOutlook Web Accessの脆弱性によりクロスサイトスクリプティングが行なわれる |
MS05-030 |
Outlook Express用の累積的なセキュリティ更新プログラム |
MS05-031 |
Windowsのステップバイステップインタラクティブトレーニングの脆弱性によりリモートでコードが実行される |
警告 |
MS05-032 | Microsoftエージェントの脆弱性によりなりすましが行なわれる |
MS05-033 | Telnetクライアントの脆弱性により情報漏洩が起こる |
MS05-034 | ISA Server 2000用の累積的なセキュリティ更新プログラム |
MS05-028は、WebClientに関するもの。いわゆる「Webの発行」などに使われており、WEBDAVを利用してコンテンツをアップロードするときなどに使われている。この脆弱性を利用するには、攻撃先のPCにログオンするユーザー権限を持っている必要があるので、悪用するとなると他のセキュリティホールとの組み合わせということになるだろうが、実際には難しそうだ。
MS05-030は、セキュリティコンサルタント会社のiDEFENSEが発見した「Outlook Expressにバッファオーバーフローの脆弱性が存在する」というものだ。ネットニュースを読み込む際に、サーバー側から長い文字列を返し、その中に不正なバイナリを仕込むことで任意のプログラムを実行させることができる。ネットニュース機能は現在ではあまり使われていないが、「news://~」とスキームを指定してリンクを貼ったメールやWebを読ませることでこの機能を呼び出させることができるので、使いようによっては、比較的危険度が高そうな脆弱性だ。
MS05-032はMicrosoftエージェントに関するもの。Microsoftエージェントはマイクロソフト製品以外でも、オンラインソフト(たとえば富士通研究所のフィンフィンエージェント)などで使われている。ユーザーは意識せずに利用している可能性もあるので要注意だ。
また、ちょっと興味深いのが「MS05-033」だ。これは、telnetコマンドに関する脆弱性で、本来規格ではサーバーに渡すべきでないとされている情報がサーバーに送られるというもの。やはりiDEFENSEが見つけたものなのだが、実はこのバグがSUNのSolaris、Linux系OSのSuSE Linuxのtelnetクライアントにも存在しているという。悪用といっても大したものではなく、その情報を集めるためにtelnetサーバを立ててユーザーにアクセスさせなくてはならないので悪用するにもあまり実用的とはいえないバグなのだが、他OSのユーザも確認しておくといいかもしれない。
● 修正パッチも3件修正
また、今月は、セキュリティ修正プログラムの更新も行なわれている。更新されたのは、以下の3件だ。
修正パッチの更新 |
MS02-035 | SQL Server のインストール プロセスで、パスワードがシステムに残る |
MS05-004 | ASP.NET パス検証の脆弱性 |
MS05-019 | TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる(893066) |
MS02-035の更新は、SQL Serverに関するものなのだが、このセキュリティ情報のリリース後、ドライブ全体から追加のファイルを検出する柔軟性がツールに含まれていないことが確認されたため、その修正が行なわれている。また、セキュリティ情報に、クラスタファイルをスキャンに関する追加の情報が含められた。
「MS05-004」の更新は、Windows XP Tablet PC EditionおよびWindows XP Media Center Editionで.NET Framework 1.0 Service Pack 3を利用していた場合にも、ASP.NET パス検証の脆弱性の修正が適用可能になった、という内容だ。
4月にリリースされた「MS05-019」では、「MS05-019」の修正パッチを当てるか、またはServer 2003にService Pack1を当てた場合に以下のような問題が発生する場合があった。- ターミナル サーバーまたはファイル共有に接続できなくなる
- WAN 回線を使用したドメイン コントローラのレプリケーションが失敗する
- Microsoft Exchange サーバーからドメイン コントローラに接続できなくなる
今回、こうした問題に関する修正が行なわれている。
このセキュリティホール自体は重要なものなので、確実に更新しておくべきだろう。なお、個別に手動で修正プログラムを利用する場合でも、4月に提供された古い修正プログラムをアンインストールせずにそのまま今回の修正プログラム適用が可能だ。
■URL
2005年6月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms05-jun.mspx
■関連記事
・ IEのPNG画像処理に関する脆弱性など、マイクロソフトが月例パッチ10件(2005/06/15)
・ 修正パッチ3件が再リリース、問題のあった「MS05-019」は一部修正(2005/06/15)
( 大和 哲 )
2005/06/16 17:08
- ページの先頭へ-
|