Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

3月のマイクロソフトセキュリティ更新を確認する


マイクロソフト「2009年3月のセキュリティ情報」
 マイクロソフトは11日、月例のセキュリティ更新プログラム(修正パッチ)をリリースし、セキュリティ情報を公開した。

 今回公開されたのは「MS09-006」「MS09-007」「MS09-008」の3件。MS09-006の最大深刻度が最も高い“緊急”、そのほか2件が上から2番目に高い“重要”となっている。

 3件の内容としては、Windowsのコア部分であるWindowsカーネルに関するもの、セキュリティプロトコル管理コンポーネントに関するもの、DNSサーバーおよびWINSサーバー機能に関するものだ。今月は、この中でもクライアントPCへの影響が大きい、Windowsカーネルの脆弱性問題を中心に見ていくことにしよう。

 なお、今回のセキュリティ更新の対象は未公開の脆弱性に関するものだけだ。2月25日にセキュリティアドバイザリが公開された、Excelの脆弱性に関しての修正パッチはリリースされていない。


MS09-006:Windowsカーネルの脆弱性により、リモートでコードが実行される(958690)

 「MS09-006」では、以下の3つの脆弱性を修正する。

  • Windowsカーネルの入力の検証の脆弱性(CVE-2009-0081)
  • Windowsカーネルのハンドルの検証の脆弱性(CVE-2009-0082)
  • Windowsカーネルの無効なポインターの脆弱性(CVE-2009-0083)

 「Windowsカーネルの入力の検証の脆弱性」(CVE-2009-0081)は、Windows Vista/XP/2000およびWindows Server 2008/2003が影響を受ける脆弱性で、いずれのOSに関しても深刻度“緊急”と評価されている。

 内容としては、不正なWMFファイルやEMFファイルを読ませた場合、リモートから第三者が任意のプログラムを実行できる可能性があるということだが、情報を読む限りでは、それよりもサービス拒否攻撃に使われる可能性を考えた方がよさそうな脆弱性だ。

 この脆弱性では、特権モードに移行する際のパラメータ検証の問題により、メモリ破壊が引き起こされるとされている。Windows NT系のOSでは、Windows 2000からは描画ライブラリの「GDI」が特権モードで動作するようになっている。以前のWindows NT 4.0までは、特権モードで動作するミニポートドライバとユーザーモードで動くデバイスドライバ本体に分かれていたのだが、処理速度の面で難があるため、Windows 2000から仕組みが変更された。このユーザーモードから、特権モードで動作しているGDIのカーネルコンポーネントに渡される値の入力を正しく検証していない部分があり、値によっては、ここでメモリ破壊を起こすという。

 なお、この脆弱性を悪用した場合、その構造上、悪意のユーザーが標的PC上でコードを実行できた場合、特権モードで動くことが可能になる。つまり、WMFファイルやEMFファイルをPCに読み込ませることで、管理者権限を乗っ取ることが可能になる。ただし、Exploitability Index(悪用可能性指標)は「3 - 機能する見込みのない悪用コード」となっていることを考えると、おそらくメモリ破壊後のハンドリングが難しいのだろうと考えられる。とはいえ、特権モードでそのまま暴走させることはたやすいと考えられるため、その点で注意をしておくべき脆弱性といえるだろう。


 「Windowsカーネルのハンドルの検証の脆弱性」(CVE-2009-0082)は、Windowsカーネルがいくつかの処理でWindowsハンドルを処理する際に、正しく検証を行っていないために、ローカルユーザーが特権モードを不正に得る可能性があるという脆弱性だ。この脆弱性を突いて管理者権限を得た上で、ローカルで実行することで管理者しかできないこと、たとえば不正にユーザーを追加することなどが可能になる。

 脆弱性の深刻度は、影響を受けるOSいずれも上から2番目の“重要”とされているが、脆弱性のExploitability Indexは「2 - 不安定な悪用コードの可能性」となっている。これは、悪意のプログラムが実行される可能性はあるが、その「成功の確率は10回に1回または100回に1回程度で、標的にされたシステムの状態や悪用コードの質によって決まる」という評価だ。

 悪意のユーザーが使うとすれば、ローカルで成功するまで何十回も実行される、あるいはリモートであれば単にシステムを暴走させるサービス拒否攻撃用に使われるといった攻撃を想定すべきなのだろう。

 3つめの「Windowsカーネルの無効なポインターの脆弱性」(CVE-2009-0083)は、特殊に加工されたポインタを正しく処理できないために、やはり不正に特権昇格を行われる可能性があるというものだ。「Windowsカーネルのハンドルの検証の脆弱性」(CVE-2009-0082)と同様、深刻度は影響を受けるOSいずれでも“重要”だが、Exploitability Indexは「3 - 機能する見込みのない悪用コード」だ。この脆弱性が特権昇格を狙う悪意のプログラムに利用されることはまずないと考えていいだろうが、カーネルモードでのメモリ破壊であるため、サービス拒否を起こすような特権モードでの暴走は比較的簡単に引き起こせるだろう。


MS09-007:SChannelの脆弱性により、なりすましが行われる(960225)

 このセキュリティ更新で修正される脆弱性は、深刻度“重要”、Exploitability Indexは「2 - 不安定な悪用コードの可能性」とされている。この脆弱性は、Windowsで内部でSSL(Secure Sockets Layer)やTLS(Transport Level Security)といったセキュリティプロトコルを管理しているコンポーネントにおいて、X.509証明書の検証に問題があり、正しいクライアントを証明書を持ってていないクライアントに対して誤認証を起こすことがあるため、正規の証明書を持ったクライアントになりすましてアクセスすることが可能になるというものだ。

 これまで一般には公開されていない脆弱性で、細かい情報がマイクロソフトからのリリースにも記載されていないため詳細な内容はわからないが、脆弱性の性質から考えると、基本的にはこの脆弱性はサーバーには影響があるが、クライアントPCにはほぼ影響はないと考えていいだろう。

 なお、このコンポーネント自体はサーバーOSだけでなく、クライアントOSにも含まれており、そのため修正の対象となるOSはWindows Vista/XP/2000およびWindows Server 2008/2003と、サーバー用OSおよびクライアント用OSの両方を対象としているようだ。


MS09-008:DNSおよびWINSサーバーの脆弱性により、なりすましが行われる(962238)

 4つの脆弱性への対応を含むセキュリティ更新だが、いずれも基本的にサーバーに関連する脆弱性で、クライアントPCには影響しないと考えていい脆弱性だ。ちなみに、こちらは対象OSも、Windows Server 2008/2003およびWindows 2000 Serverと、サーバー系OSのみとなっている。

 このセキュリティ更新では以下のDNSサーバー関連の2つと、WPAD関連の2つの脆弱性を修正する。

  • DNSサーバーのクエリの検証の脆弱性(CVE-2009-0233)
  • DNSサーバーの応答の検証の脆弱性(CVE-2009-0234)

 いずれも未公開の脆弱性で、どちらも、ある形式のクエリを受け取った際にDNSサーバーがキャッシュされた応答を再使用せずに、内部の情報、あるいは上位のDNSサーバーに問い合わせを行うことから、このサーバーが次に使うトランザクションIDを予測しやすくなり、結果として他のサーバーがこのDNSサーバーになりすますきっかけを作るかもしれないというものだ。

 問題のある検証箇所が、クエリの検証と、レスポンスをどこから作るかの検証の2カ所に渡っているため、2つの脆弱性とされているが、脆弱性の内容としては2つともほぼ同じであるようだ。ただ、どちらもトランザクションIDを予測できる可能性があるとはいえ、予測候補となるIDは数多く、実際の悪用は難しいだろう。Exploitability Indexの評価も「2 - 不安定な悪用コードの可能性」となっており、今回公開された脆弱性から実証コードが作成される可能性は高いが、脆弱性を悪用可能な攻撃コードが作成される可能性は非常に低いとされている。



  • WPADの登録の脆弱性のDNSサーバーの脆弱性(CVE-2009-0093)
  • WPAD WINSサーバーの登録の脆弱性(CVE-2009-0094)

 WAPDとは「Webプロキシ自動発見」機能のことで、Windows DNSサーバーやWINSサーバーがWPADエントリを登録できる人物を正しく検証しないという脆弱性だ。悪意のユーザーが、中間者攻撃、つまりWebプロキシになりすまして、アクセスするURLやアクセス先の内容、アクセス先に送信した内容などを傍受したり、あるいは本来アクセスしたい先ではない場所で誘導するなどの攻撃が可能となる。

 この2つの脆弱性に関する情報が既にインターネット上に公開されているが、マイクロソフトの「日本のセキュリティチーム」ブログによれば、攻撃の成功確率はそれほど高くはなく、必要条件もそれなりにあるため、悪用コードを安定化させることは難しいと思われるとしている。実際に攻撃に使われる可能性は低いと考えていいだろう。ただし、これも「日本のセキュリティチーム」ブログにも書かれているが、「万が一悪用された場合は管理者側、利用者側が悪用された事に気が付きにくい性質の脆弱性」であり、サーバー管理者は早めに更新を適用する必要があるだろう。

 なお、一部の報道ではこのセキュリティ更新で、セキュリティアドバイザリ(945713)として公開されている「Webプロキシ自動発見(WPAD)の脆弱性により情報漏えいが起こる」問題も修正するとしていた。しかし、これは誤りで、単にWPADに関してこのセキュリティアドバイザリでも言及しているというだけで、MS09-008ではこの脆弱性の修正は行わない。前述のセキュリティアドバイザリで指摘されている脆弱性には、修正パッチは現在も提供されていないので注意が必要だ。


関連情報

URL
  マイクロソフト「2009年3月のセキュリティ情報」
  http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx
  マイクロソフト「日本のセキュリティチーム」ブログの該当記事
  http://blogs.technet.com/jpsecurity/archive/2009/03/11/3211383.aspx

関連記事
MSが3月の月例パッチ公開、Windows関連で“緊急”を含む計3件(2009/03/11)


( 大和 哲 )
2009/03/12 14:23

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.