Video ActiveXコントロールのゼロデイ脆弱性に対応する

　マイクロソフトは7日、Microsoft Video ActiveXコントロールの脆弱性を悪用した攻撃が確認されたとして、セキュリティアドバイザリを公開した。

　この脆弱性は、ブラウザで悪意のあるActiveXオブジェクトを表示させることで、ユーザーが気付かないうちにプログラムをダウンロードしてインストールさせる「ドライブバイダウンロード」攻撃に実際に使われている。

　セキュリティベンダーなどの公開情報によれば、この脆弱性を悪用した攻撃コードは既に広範囲に仕掛けられた形跡があり、日本のサイトも含まれるという。セキュリティベンダーなどではこうした状況から、現状の脅威レベルを通常より1ランク上げ、危険な状態にあるとしているケースも多い。つまり、それだけこの脆弱性を利用した悪意のプログラムが猛威を振るう可能性が高いということだ。

　Microsoft Security Response Center（MSRC）の公式ブログでは、「すべてのユーザーがセキュリティアドバイザリにある回避策を取ること」を推奨している。マイクロソフトでは、ワンタッチで適用できる回避策も提供しているので、できるだけ早く対策をとっておくべきだろう。

　マイクロソフトセキュリティアドバイザリ（972890）
　http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

●脆弱性はWindows XPとWindows Server 2003のIE全バージョンが対象

　今回公表された脆弱性は、米MicrosoftのSecurity Research & Defenseブログによれば、Direct Show関連のファイル「msvidctl.dll」に存在するもの。このDLLを利用する「MPEG2TuneRequest ActiveXコントロールオブジェクト」を悪用することで、ローカルのユーザーと同じ権限で悪意のプログラムをダウンロード・実行させることができるというものだ。

　具体的には、このActiveXを悪用したスクリプトをWebサイトに仕掛けておき、サイトを閲覧したユーザーのPCに悪意のプログラムを自動ダウンロードさせ、実行させるという攻撃に使われている。

　CVEには「CVE-2008-0015」として、2007年12月13日に脆弱性候補として登録されていたが、その検証や対策が行われる前にゼロデイ攻撃に使われてしまったようだ。

　2009年7月7日現在、いくつかのウイルス対策ソフトでは、この攻撃コードを利用したファイルを悪意のファイルとして検出できるようになっている。例えば、トレンドマイクロの場合は「JS_DLOADER.BD」として検出するが、一方で現時点では検出に対応していないソフトもある。

　また、既にこの攻撃が埋め込まれた「汚染サイト」は、セキュリティ関連サイトの発表によってばらつきがあるものの、中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向にあるという。被害に遭ったと思われるサイトの中には、日本のサイトも含まれている。

　DirectShowに関する脆弱性については、今回の脆弱性とは別のセキュリティアドバイザリ（971778）も5月29日に公開されている。この「971778」の脆弱性と比較した場合、今回の脆弱性はページの閲覧者に全く気付かせずに攻撃が可能になるという意味で、より悪質な攻撃が可能な脆弱性だと言えるだろう。

　MSRC公式ブログによれば、攻撃対象となるのはWindows XPとWindows Server 2003上で動作する、ActiveXを利用できるWebブラウザ、つまりInternet Explorer（IE）の各バージョンおよびIEエンジンを利用した多くのWebブラウザだ。ただし、Symantecなど一部のセキュリティベンダーでは、IE8はこの脆弱性の影響を受けないとしている。

　現在、マイクロソフトでは脆弱性について調査を続けており、セキュリティ更新プログラム（修正パッチ）は未提供だが、とりあえずの回避策は公開されており、修正パッチが提供されるまでは回避策を取ることをお勧めする。

　また、マイクロソフトでは、Windows VistaとWindows Server 2008はこの脆弱性の影響を受けないとしているものの、これらOSのユーザーも多段防御という意味で、セキュリティアドバイザリにある回避策を取ることを推奨している。

●回避策は簡単に適用できる「Fix it」がお勧め

　さて、この脆弱性の回避策だが、セキュリティアドバイザリでは問題のActiveXコントロールがIEで実行されるのを防ぐために、レジストリに「Kill Bit」を設定することを推奨している。

　セキュリティアドバイザリには、Kill Bitの設定が必要なクラス識別子が45個列挙されているが、これらのKill Bit設定をワンタッチで自動で行ってくれるツール「Fix it」が用意されているので、これを利用する方が簡単だ。

　「Microsoft Fix it」は、セキュリティアドバイザリで提示されたレジストリ修正を自動的に行うプログラムで、今回の脆弱性に対応するプログラムは下記のページからダウンロードできる。

　「Fix it」の配布ページ
　http://support.microsoft.com/kb/972890

　このページで「回避策を有効にします」と書かれている下にある「Fix it」のアイコンをクリックし、ダウンロードしたプログラムを実行すれば、必要なKill Bit設定が完了する。本当にワンタッチで、確実に適用することができるので、該当ユーザーはこのFix itの仕組みを使って対策をしておくべきだろう。


「回避策を有効にします」の下にある「Fix it」のバナーをクリックすることで、Kill Bitを設定するプログラムがダウンロードできる	今回のFix Itは日本語表示にも対応している

関連情報

(大和哲)

2009/7/8 14:05

-ページの先頭へ-