Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

マイクロソフトの緊急セキュリティパッチを確認する


 マイクロソフトから10月24日未明に、毎月の定期公開日とは別に、緊急のセキュリティ更新プログラム(セキュリティパッチ)「MS08-067」が公開された。定期公開日以外に緊急にセキュリティパッチが公開されたのは、2007年4月4日に公開された「MS07-017」以来となる。

 マイクロソフトでは、今回公表した「MS08-067」で修正する脆弱性が既に悪用され、標的型攻撃が行われた形跡があると発表している。

 この脆弱性では、標的としたいPCのTCP 139番ポートあるいは445番ポートに特殊なRPCリクエストを送ることで、悪用が可能になるという。この方法は、2003年に流行したBlasterウイルスなどと同様の方法だ。従って、LAN内に1台ウイルスに感染したPCがいると、ユーザーの操作を介さずに次々と自動的に他のPCにも感染するウイルスが作成される可能性が高い。

 幸い、現在ではBlasterが流行した当時とは異なり、Windows Updateによってセキュリティパッチを当てることが一般的になっている。24日にセキュリティパッチがリリースされ、既に適用済みのPCが多いと考えられることから、当時のような問題にはならないかもしれないが、それでも危険なことには変わりがないだろう。

 ちなみに、前回緊急でリリースされた「MS07-017」は、2007年3月末に脆弱性が見つかってセキュリティアドバイザリが公開されてから、4月4日にセキュリティ更新プログラムが提供された。一方、今回は公開前日に事前通知が公開されて、即座にセキュリティパッチが公開されている。対応策をすぐにマイクロソフトが用意できたための対応とも考えられるが、MS07-017よりもさらに緊急を要するものであったという可能性もある。

 今回の「MS08-067」については内容を早急に確認し、対応を大至急行うべきだろう。


逆コンパイルリストやエクスプロイトも既に公開されている

 MS08-067の内容をもう少し詳しく見ておこう。

 この脆弱性は、Windows Vista/XP/2000、Windows Server 2008/2003に存在するもので、Windows XP/2000およびWindows Server 2003では“緊急”、Windows VistaおよびWindows Server 2008では“重要”とされている、リモートコード実行が可能な脆弱性だ。

 この脆弱性を悪用した場合、ユーザーの操作なしでリモートから任意のプログラムを実行することができ、ユーザーのPCを完全に乗っ取ることが可能だ。

 MS08-067に関しては、マイクロソフトのWebサイトではセキュリティパッチが公開された2008年10月24日現在の情報として、「マイクロソフトはこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。しかし、マイクロソフトはこのセキュリティ情報が最初に公開された段階で、公開された検証用コードの例を確認していません」と説明している。

 しかし、10月25日現在では、既に問題となっている脆弱性が存在するDLLの逆コンパイル結果(配布されているバイナリファイルを解析し、このプログラムのソースがどのようなものであるかを推定すること)や、エクスプロイトコードがインターネット上に公開されている。従って、技術的な内容が理解できれば、誰でも何が問題となっているか把握でき、またエクスプロイトコードを利用して悪用コードを作り出すことが比較的容易になっているという状況だ。

 また、後述するが、既にこの脆弱性を使用するウイルスプログラムをPC内に投下する悪意のスクリプトが、日本のWebサーバーで既に一般の目の触れる場所で公開されていたという。

 セキュリティ情報サイトの「SecuriTeam」など、いくつかのサイトに掲載されている逆コンパイルリストによると、具体的にはこの脆弱性は、WindowsのシステムファイルであるNETAPI32.DLLに存在している。操作したいリモートのファイル名文字列で「\」コードの解析中に、1つ左の「\」を探すという操作を行う際にバグがあり、スタックオーバーフローを引き起こすというものだ。

 ちなみにこの箇所は、Vista以降でも一部にパラメータの正確性を検証する箇所の追加や、文字列のコピー方法がwcscpy()からより安全とされるwcscpy_s()に変更されている点に違いがあるものの、Windows NT由来のほぼ全く同じコードが流用されている。


 Serverサービスは、Windowsファイル共有やネットワークでの印刷、ネームドパイプ、RPCサポートを提供するサービスで、これを利用することで共有ファイルやプリンタをLAN上の他のPCに使わせることができるようになっている。

 これが停止した場合、こうした機能がネットワーク経由で提供できなくなるわけで、LANが普及した現在では不可欠なサービスであると言えるだろう。当然、このサービスはOSをインストールした時点でデフォルトで有効になっており、今回の脆弱性を悪用するプログラムを作成すれば、Windowsファイル共有が行えるような範囲のLAN内のPCに対して、ユーザーの操作を介することなしに、悪意のプログラム実行を仕掛けることが可能になるというわけだ。

 ちなみに、この脆弱性が存在する箇所は、2006年8月に公開された「MS06-040」でも修正された脆弱性と全く同じ箇所で、今回のセキュリティパッチは一度修正した箇所をもう一度修正するような状態になっている。マイクロソフトは「信頼できるコンピューティング」の一環としてセキュリティ開発ライフサイクル(Security Development Lifecycle)を適用し、Windows Vista以降ではソースコードの見直しもすべて行っているはずなのだが、それでもこういうことが起こりうるというセキュリティ上の教訓となるかもしれない。

【お詫びと訂正 2008/10/28 11:45】
 記事初出時、Serverサービスは他のPCの共有ファイルなどを利用するために必要なサービスであるとしていましたが、正しくは他のPCに対して共有ファイルなどを提供するためのサービスです。お詫びして訂正します。記事は以下のように訂正しました。

【誤】
 Serverサービスは、Windowsファイル共有やネットワークでの印刷、ネームドパイプ、RPCサポートを提供するサービスで、これを利用することでWindowsは他のPCのディスクやプリンタを利用したり、あるいは逆に自分のPCの共有ファイルやプリンタをLAN上の他のPCに使わせることができるようになっている。

 このサービスが停止した場合、こうした機能がネットワーク経由ではすべて利用できなくなるわけで、必要不可欠なサービスであると言えるだろう。

【正】
 Serverサービスは、Windowsファイル共有やネットワークでの印刷、ネームドパイプ、RPCサポートを提供するサービスで、これを利用することで共有ファイルやプリンタをLAN上の他のPCに使わせることができるようになっている。

 これが停止した場合、こうした機能がネットワーク経由で提供できなくなるわけで、LANが普及した現在では不可欠なサービスであると言えるだろう。


MS08-067の悪用状況

 MS08-067の悪用状況については、トレンドマイクロのセキュリティブログにおいて、この脆弱性を悪用したワーム型ウイルスプログラム「WORM_GIMMIV.A」に関連した被害報告が出ているとしている。

 WORM_GIMMIV.Aは今回の脆弱性を悪用して実行され、トロイの木馬型スパイウェア「TSPY_GIMMIV.A」をダウンロードする。TSPY_GIMMIV.Aは、ユーザー名とパスワード、コンピュータ名などのシステム情報、ウイルス対策製品などの情報を収集し、悪意のユーザーにこれらの情報を送信するようだ。

 また、スパイウェアの本体であるTSPY_GIMMIV.Aは、日本国内の有名レンタルサーバーにアップロードされていたという。トレンドマイクロによれば、レンタルサーバー業者には連絡済みで、サイトを閉鎖したという報告を受けたとのことで、確認したところ現在では該当ページにはアクセスできなくなっている。

 トレンドマイクロをはじめ多くのウイルス対策ソフトでは、このウイルスに対する最新のパターンファイルが配布されており、今回のウイルスに感染する可能性は現在ではそれほど大きくないと考えられる。

 ただし、前述のようにある程度のプログラミングスキルがあれば悪用が可能なエクスプロイトコードが存在しているため、今後ともこの脆弱性を悪用した攻撃には十分警戒する必要がある。今回のウイルスコードの一部を改変した、新種のウイルスが作られる可能性も高いと考えておくべきだろう。


関連情報

URL
  マイクロソフトセキュリティ情報 MS08-067
  http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx
  トレンドマイクロ セキュリティブログの該当記事
  http://blog.trendmicro.co.jp/archives/2003


( 大和 哲 )
2008/10/27 13:15

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.