● セキュリティ更新が前倒しでリリースされた
4月4日未明(日本時間)、マイクロソフトから、Windows用のセキュリティ更新プログラム(パッチ)が通常のスケジュールより前倒しでリリースされた。
セキュリティ更新プログラムは、事前に同社が3月末にセキュリティアドバイザリ(935423)として報告していた、Windowsのaniファイルに関する極めて危険なものを含め、7つの脆弱性を修正するものだ。
このaniファイルの脆弱性は、セキュリティアドバイザリで報告されている通り、既にゼロデイ攻撃(セキュリティパッチが提供されるより前にその脆弱性が突くような攻撃に使うこと)として使われている点、また、今まであまり行なわれなかった攻撃方法に使われる可能性がある点などから極めて危険と考えられる脆弱性だ。
可能な限り速やかにこのパッチの内容、考えられる攻撃方法を把握した上で、システムに当てるようにしたい。
● aniファイル問題の経緯と危険度
MS07-017セキュリティ更新プログラムの内容を確認する前に、今回公開を前倒しにする要因となった、aniファイルの脆弱性について、その危険性を確認しておこう。
この脆弱性は、Windows XP SP2、Windows 2000 SP4、Windows Server 2003 SP1/SP2だけでなくWindows Vistaにも存在するものだ。
セキュリティサイトなどで報じられている内容をまとめると、Windows内の画面描画システムであるGDIにある、アニメーションカーソルやアイコンデータを読み込む部分にデータのチェックが漏れている部分があり、不正なani形式ファイルを対象となるPCに読み込ませ、administrator権限で任意のプログラムを動かし、完全にPCをのっとることができるという脆弱性だ。
この脆弱性が、実際にゼロディ攻撃に使われ、さらに攻撃が拡大していることが確認されている。当初、このゼロディ攻撃は標的を限定した攻撃に見受けられたが、3月末にはサイトで広くばらまかれる兆候が出てきた。
当初報じられていた情報では、不正なアニメーションファイルはメールに添付でき、あるいはWebサイトを表示したときにその組み合わせで悪用ができるとされた。
その後の情報では、このani形式のファイルはDHTMLを利用すれば、メールを使わなくてもWebサイトを閲覧する際のマウスカーソルとして読み込むようでき、実際に中国にあると思われる複数のサイトにこれを利用した悪意のプログラムが仕掛けられていると報じられた。
具体的には、閲覧者のPCで悪意のプログラムが実行されると、PC内のHTML/ASPX/HTM/PHP/JSP/ASP/EXEファイルに不正なプログラムが追加され、さらに同じゼロデイ攻撃プログラムが仕掛けられているサイトのURLが記入された迷惑メールをばらまくという動作になっていたようだ。
これを悪用したウイルスプログラムは、偶然ユーザーが訪れそうな場所、例えばURLのタイプミスを狙ったサイトなど、複数に仕掛けられるようになった。
さらに、exploitなどが公開されているサイトに、この仕組みを利用した実証コードのソースが複数公開されるようになってきた。現在、多少プログラミングの知識があれば悪用が可能な状態になっている。
状況的には、悪質なプログラムが流行する条件がかなりの部分揃ってしまっており、現在は大変危険な状況だと言える。可能な限り速やかに対処すべき問題であり、内容が把握できたなら早急に今回のパッチを当てるべきだろう。
なお、セキュリティ更新プログラムのリリース後に公開されたサポート技術情報(KB935448)によると、Realtek HDオーディオコントロールパネルをインストールしたWindows XPに、MS07-008と今回のMS07-017をインストールすると、オーディオコントロールパネルが動かなくという問題が起きている。
これは、MS07-008に含まれるHhctrl.ocxファイルと、セキュリティ更新プログラムMS07-17が競合するベースアドレスを利用するためで、既に対策用のファイルが提供されている。
● MS07-017の内容を確認する
今回リリースされたMS07-017で修正される脆弱性の内容について確認しよう。いずれも、aniファイルの問題と同じく、Windowsの描画機能周りの脆弱性が集中的に修正されているようだ。
・GDIのローカルの特権の昇格の脆弱性 - CVE-2006-5758
Windows 2000 SP4、Windows XP SP2に存在するGDIの脆弱性だ(Windows Server 2003 SP1/SP2、Windows Vistaには存在しない)。GDIとはGraphic Device Interfaceの略で、画面やプリンタの描画をコントロールするWindowsのシステムプログラムだ。この脆弱性を悪用すると、例えばユーザー権限で走っているプログラムが、画面やプリンタに図形や文字を描くふりをして不正なデータを送り、管理者権限を不正に手に入れる、といったことが可能になる。
最大の深刻度は“重要”で、あまり危険なものには見えないものの、Web上の報告などによると、このセキュリティホールは2004年に報告されたもので、2006年11月にはこの脆弱性を実証するexploitのソースコードが公開されている。ある程度のプログラム技術があれば、比較的悪用は容易になっており、あまり安心もしていられない脆弱性なのではないかと筆者は考える。
・WMFのサービス拒否の脆弱性 - CVE-2007-1211
iDefenseによってマイクロソフトに報告された脆弱性で、Windowsが不正な形式のWMFファイルを開いたときに、再起動がかかる可能性があるというもの。Windows XP SP2、Windows 2000 SP4、Windows Server 2003 SP1/SP2で、DoS(サービス拒否攻撃)を起こしうる脆弱性だ。
Web上に不正なファイルを貼り付けて閲覧者のPCを再起動させる……程度のいたずらに使われる可能性がある。危険というほどではないが、脆弱性と言えば言えるものだ。
・EMFの特権の昇格の脆弱性 - CVE-2007-1212
NGS Softwareによって報告された脆弱性で、Windowsが不正な内容の拡張メタファイル (EMF形式)を開いたときに、権限が昇格する可能性があるというものだ。EMF形式ファイルとは、WMF同様メタ画像ファイルの一種だ。
技術的な詳細な情報はほとんど公開されておらず、当然ゼロデイ攻撃でもなく、脅威としては危険度は低いと考えられる。ただし、更新対象がWindows XP SP2、Windows 2000 SP4、Windows Server 2003 SP1/SP2、Windows Vistaと、これまであまり報告されていない「Vistaにも存在する脆弱性」である点は注意したほうがいいだろう。
・GDIの無効なウィンドウサイズの特権の昇格の脆弱性 - CVE-2006-5586
Windows XP SP2、Windows 2000 SP4で影響があるとされる脆弱性で、画面にウィンドウを表示させようとするプログラムにおいて、本来ありえない、あるウィンドウのサイズを指定した場合、Windowsが落ちたり、最悪の場合はユーザーやゲストなど権限で走らせていたプログラムが、Administrator権限を手に入れる可能性があるというものだ。公開されている情報は少ないが、理屈としては非常に単純で、悪意のユーザーが試してみることで詳細を理解するのは比較的容易ではないかと思われ、早めに対処すべき脆弱性だと考えられる。
・Windowsのアニメーションカーソルのリモートでコードが実行される脆弱性 - CVE-2007-0038
これが前述のaniファイルの脆弱性で、ゼロデイ攻撃にも使われ、応用範囲も広く、非常に危険な脆弱性だ。セキュリティ更新の対象となるOSは、Windows XP SP2、Windows 2000 SP4、Windows Server 2003 SP1/SP2、Windows Vistaのすべてが対象となっている。可能な限り速やかに対処すべき問題であり、内容が把握できたなら早急に今回のパッチを当てるべきだ。
・GDIの不適切なパラメータのローカルで特権が昇格される脆弱性 - CVE-2007-1215
GDIは画面やプリンタへの画像や文字を描画する際に利用されるシステムプログラムだが、その際に、色彩関係(色コードかパレット関係?)にある不正なパラメータを記入した場合、権限が昇格する可能性があるというものだ。GDIが受け取ったパラメータが正しい範囲内にあるかどうかのチェックに漏れがあるために起こる。
公開されている情報は少ないが、理屈から考えると、この脆弱性を突くプログラムを走らせると、うまく特権を手に入れて戻って来れなくても、OSを落としたりといったことは比較手軽にできるのではないかと考えられる。Windows Vistaにも影響のある脆弱性でもある点にも要注意だろう。
・フォントラスタライザのローカルで特権が昇格される脆弱性 - CVE-2007-1213
Windows 2000 SP4でのみ確認されている脆弱性だ。Windowsが文字を画面に描画する際には、TrueTypeのような線を表現するデータを、画面のドットに変換する作業を行なわなくてはならない。この作業を行なうのが「ラスタライザ」と呼ばれる機構なのだが、このシステムプログラムに不備があり、初期化されていない機能のポインタを呼び出すことがある。つまり、不正なフォントデータを用意し、さらにこの不正なフォントを利用して画面やプリンタに不正なデータの入っている文字を描画させた場合、それがゲストやユーザー権限で走っていたはずが、管理者権限を手に入れることが可能になる、ということだ。
この問題をマイクロソフトに報告したAdobeからも詳細な情報は提供されておらず、少々悪用のための手順も込み入っているため、実際に悪用される可能性は低そうだが、Windows 2000ユーザーは念のために注意しておくべき脆弱性だろう。
関連情報
■URL
MS07-017
http://www.microsoft.com/japan/technet/security/bulletin/ms07-017.mspx
( 大和 哲 )
2007/04/05 12:55
- ページの先頭へ-
|