9月のマイクロソフトセキュリティ更新を確認する


 9月9日未明、マイクロソフトは定例のセキュリティ更新(修正パッチ)を予告どおり公開した。今月公開されたセキュリティ更新は5件で、いずれも最大深刻度は4段階で最も高い“緊急”だ。

 修正パッチのリリース前に脆弱性が一般に公開される、いわゆるゼロデイ脆弱性に関するものは1件のみだが、いずれの脆弱性も一般のクライアントPCが攻撃を受ける可能性のあるものであり、内容を確認しておく必要はあるだろう。

 一方、ゼロデイ脆弱性が発見されセキュリティアドバイザリが発行されているIISのFTP脆弱性に関しては、今月はパッチ提供は見送られたようだ。

 なお、今月からセキュリティ更新の対象OSには、Windows 7とWindows Server 2008 R2が含まれるようになった。これで、現在マイクロソフトがサポート対象としているOSは、Windows 2000 SP4、Windows XP SP2/SP3、Windows VistaおよびWindows Vista SP1/SP2、Windows 7、Windows Server 2003 SP2、Windows Server 2008およびWindows Server 2008 SP2/R2ということになる。

 ちなみに、今月公開された5つのセキュリティ更新で修正される脆弱性は、新OSのWindows 7およびWindows Server 2008 R2には影響を及ぼさない。

 それでは、今月公開された5件のセキュリティ更新情報を見ていこう。また、9日には、Windowsのファイル共有やプリンタ共有などに使われているSMB(Microsoft Server Message Block)の脆弱性に関するセキュリティアドバイザリも公開されているので、これにも触れておこう。

MS09-045:JScriptスクリプトエンジンの脆弱性(971961)

 今月のセキュリティ更新に関しては、米MicrosoftのSecurity Response Center(MSRC)ブログで、興味深い資料が公開されている。今回のセキュリティ更新の作業において、優先順位が最も高いとされていたのが、MS09-045のJScriptの問題と、MS09-047のWMFの問題だという。

 MS09-045では、「JScriptのリモートでコードが実行される脆弱性(CVE-2009-1920)」を修正している。

 これは、Windows XPやWindows Vistaなどに含まれるJScriptスクリプトエンジンのスクリプトの処理部分に問題があり、ある種のスクリプトを実行させると、スクリプトエンジンがデコードされたスクリプトをメモリに読み込もうとした際に、メモリ破壊を起こす可能性があるという。これにより、Internet Explorer(IE)が応答を停止するか、これをきっかけに任意のプログラムが実行される可能性があるという内容だ。

 Exploitability Index(悪用可能性指標)についても、最も高い「1 - 安定した悪用コードの可能性」とされている。脆弱性情報が広まれば、確実に動作する悪意のコードが作成される可能性があると言っていいだろう。

 悪用方法としては、例によって悪意のスクリプトをWebサイトに貼り付け、閲覧したユーザーのPCを乗っ取るということが考えられる。IEを使っているユーザーは至急、パッチを適用すべき脆弱性だろう。

MS09-047:Windows Media Formatの脆弱性(973812)

 前述のMS09-045と同様に、MS09-047も最も高い優先順位で作業が進められたという。MSRCのブログによれば、MS09-045とMS09-047は、Exploitability Indexの高さと、Webベースのシナリオで悪用され、エンドユーザーに影響が大きいと考えられることから、最優先で作業を進めたとしている。

 MS09-047では、以下の2つの脆弱性に対応する修正パッチがリリースされている。

  • Windows Mediaヘッダー解析の無効なフリーの脆弱性 - CVE-2009-2498
  • Windowsメディアの再生のメモリの破損の脆弱性 - CVE-2009-2499

 CVE-2009-2498は、ASFファイルのヘッダ情報を処理する際に、作業メモリを確保した以上に解放してしまうコーディング誤りの問題だ。このため、ある特定の制御値をヘッダに記載した場合、メモリ破壊を引き起こし、結果として悪意のプログラムの起動を許してしまう可能性がある。

 また、CVE-2009-2499は、MP3ファイルの処理に関するWindowsコンポーネントが、ある形式のメタデータを正しく処理しない箇所があり、特別に加工されたMP3ファイルやストリーミングコンテンツを再生させようとした場合、メモリ破壊を起こし、結果としてリモートでコードが実行される可能性があるという。

 これらの脆弱性のExploitability Indexも、最も高い「1 - 安定した悪用コードの可能性」とされている。ただし、米MicrosoftのSecurity Research & Defenseブログでは、「Windows VistaおよびWindows Server 2008に対応するエクスプロイト(攻撃コード)の作成は難しい」としている。また、Windows XP SP3とIE8の組み合わせの場合には、DEP(データ実行防止)機能によってリスクを軽減することが可能であるとしている。

 ちなみに、どちらの脆弱性を利用した悪用コードも、ログインしていたユーザーの権限で実行されることになる。

 MS09-045とMS09-047は、いずれもこれまで一般には非公開の脆弱性であり、今のところこれを利用した悪用コードが出回っていないが、技術情報が出回れば、Webベースで広く悪用されそうな脆弱性であることは確かだ。

 Webページを開いて音楽が流れたとたんにPCがボットに乗っ取られた、ということにならないように、Winsdows 7とWindows Server 2008 R2以外のユーザーは至急、パッチを適用すべき脆弱性だろう。

MS09-046:DHTML編集コンポーネントのActiveXコントロールの脆弱性(956844)

 MSRCブログによれば、MS09-045とMS09-047に次ぐ優先順位で作業を進めたのが、このMS09-046だという。

 MS09-046では、「DHTML編集コンポーネントのActiveXコントロールの脆弱性(CVE-2009-2519)」という脆弱性を修正している。これは、DHTML編集コンポーネントのActiveXコントロールをIEで利用した場合、攻撃者が任意のコードを実行できる方法があり、たとえば悪意のWebページを用意して利用者のPCに読み込ませると、そのPCの利用者と同じ権限で悪意のプログラムをリモートから動かすことが可能になるという内容だ。

 対象となるのは、Windows XP/2000およびWindows Server 2003で、Windows VistaやWindows 7などは影響を受けない。

 脆弱性の深刻度は、Windows XP/2000で“緊急”、Windows Server 2003では4段階で上から3番目の“警告”となっていて、特にWindows XP/2000ではリモートコード実行の危険性が高いことを示している。

 Exploitability Indexは「2 - 不安定な悪用コードの可能性」とされていて、任意のコードの動作は不安定なようだが、米MicrosoftのSecurity Research & Defenseブログによれば、IEをクラッシュさせることはできるようだ。Windows XP SP3上のIE8では、DEP機能によってこの危険性を回避することができるが、それ以外のシステムではクラッシュを避けるためにパッチを早急に適用する必要があるだろう。

MS09-048:Windows TCP/IPの脆弱性(967723)

  • TCP/IPのゼロウィンドウサイズの脆弱性 - CVE-2008-4609
  • TCP/IPのタイムスタンプのコードの実行の脆弱性 - CVE-2009-1925
  • TCP/IPの孤立した接続の脆弱性 - CVE-2009-1926

 MS09-048では、上記3つのTCP/IPに関する脆弱性を修正する。

 これらのうち、「TCP/IPのゼロウィンドウサイズの脆弱性」は、WindowsのTCP/IPスタックが、多数の確立されたTCP接続を適切に処理していないため、サービス拒否(DoS)攻撃を受ける可能性があるという。具体的には、リモートからデータをリクエストして、TCP受信ウィンドウのサイズを小さい(またはゼロの)値に設定し、このような接続を大量に発生させるなど悪用した場合、サービス拒否の状態が倍増する可能性があるというものだ。

 実は、この脆弱性はWindowsに限らず、多数の製品にも存在することが指摘されている。

 JPCERT/CCが、「複数製品のTCPプロトコルの脆弱性に関する注意喚起」として公表した注意文によれば、Windowsの他にも、Linux OSやCisco製ルータ、チェックポイント製ファイアウォールやVPN製品などにも、この脆弱性が存在しているということだ。

 Windowsに関しては、Exploitability Indexは「2 - 不安定な悪用コードの可能性」とされているが、各種のプラットフォームやネットワーク機器に対しても有効な攻撃手段として使われる可能性もある脆弱性であるということは警戒しておくべきだろう。

 ところで、このセキュリティ更新だが、Windows 2000については修正パッチが用意されていない。

 マイクロソフトは、セキュリティ更新のWebサイトで、「Windows 2000のシステムにはTCP/IPの保護を適切にサポートするアーキテクチャーが存在しないため、脆弱性を排除するWindows 2000用の更新プログラムを作成するのは極めて困難です」としている。つまり、Windows 2000にもこの脆弱性は存在するが、パッチを作成するのは困難で提供できないということのようだ。

 これはつまり、外部から直接アクセス可能な環境にWindows 2000(Windows 2000 Serverも含まれる)を置いている場合などは、ファイアウォールなど別手段で対策を講じない限り、OSだけではそれを防ぐ手立てがないことを意味している。Windows 2000のサポート期間自体は残っているものの、実際問題として、利用するにはかなり危険な状態になってきているといえるだろう。残念ながら、Windows 2000利用のシステムはなるべく早く引退させることを検討すべきかもしれない。Windows 2000のサポート期間は、2010年7月に終了する予定となっている。

MS09-049:ワイヤレスLAN自動構成サービスの脆弱性(970710)

 今月の5つのうちでは、筆者が警戒を要する部類に入るセキュリティ更新情報ではないかと考えているのが、このMS09-049だ。

 MS09-049では、「ワイヤレスフレーム解析のリモートでコードが実行される脆弱性(CVE-2009-1132)」を修正する。

 この脆弱性は、Windows Vistaにおいて利用可能な無線LANアダプタを列挙し、無線LAN接続とプロファイルを管理する「ワイヤレスLAN AutoConfigサービス(wlansvc)」に関するものだ。このサービスに、受信した特定のフレームを解析する方法に問題があり、無線LANインターフェイスが有効になっているPCが、悪意の第三者によって細工されたフレームを受信した場合、それをきっかけに任意のプログラムを実行させられる可能性があるというものだ。

 たとえば、電車の中で書類を見たり、あるいは街中のファーストフード店で公衆無線LAN接続を利用してインターネットを利用するなど、公共の場所でPCを使うシーンは現在のユーザーにとっては意外と多く、その際に無線LANがオンになっていることも多い。こうした状況において、PCを乗っ取られる、あるいはクラッシュさせられる可能性があるというのは非常に危険だ。特に外出先でPCを使う可能性のあるユーザーは、確実に修正パッチを適用しておくべきだろう。

SMBのゼロデイ脆弱性にもセキュリティアドバイザリ

 米SANSなどによると、SMB v2プロトコルにリモートからコンピュータを再起動する機能があり、この機能の脆弱性を利用するようなコードを送り込むことで、対象マシンのクラッシュ、またはPC上で任意のプログラムの実行を行うことが可能になるという内容の脆弱性情報が、実証コードとともにインターネット上に公開された。また、すでにこの脆弱性の悪用コードを生成する「Metasploitモジュール」も公開されていて、悪用が目前に迫った状況にある。

 この情報と当面の回避策を提供するため、マイクロソフトはセキュリティアドバイザリ(975497)を公開した。

 セキュリティアドバイザリによると、対象となるソフトは、Windows VistaおよびWindows Server 2008で、Windows XP/2000などは対象となっていない。

 なお、米SANSではWindows 7およびWindows Server 2008 R2も影響を受けるとしていたが、マイクロソフトではWindows 7のRC版はこの脆弱性の影響を受けるが、Windows 7の正式版には影響は無いとしている。

 脆弱性の回避策としては、レジストリを操作して「SMB v2」を無効にする方法と、ファイアウォールでTCP 139番ポートおよび445番ポートをブロックする方法が紹介されている。

 ただし、SMB v2をレジストリでブロックしてしまうと、このプロトコルを使って実装されていたVistaマシン間のファイル転送の高速化などは利用できなくなるという副作用がある。また、ファイアウォールでポートをブロックした場合は、外部とのSMB通信自体が行えなくなってしまう。回避策を実施する際には、その影響をよく吟味して適用する必要があるだろう。


関連情報

(大和 哲)

2009/9/10 15:06