2月のマイクロソフトセキュリティ更新を確認する


 マイクロソフトは10日、月例のセキュリティ更新プログラム(修正パッチ)をリリースした。内訳は、最大深刻度では4段階のレーティングで最も危険な“緊急”が5件、次に高い“重要”が7件、3番目に高い「警告」が1件となっている。

 対象としては、Hyper-Vに関する「MS10-010」と、Kerberos認証に関する「MS10-014」はサーバー向けだが、それ以外の修正パッチは主にクライアント向けであると考えられる。今月は、既にゼロデイ攻撃に使われているといった緊急に対応が必要な修正パッチは無いが、いずれ攻撃に使われると考えられる脆弱性に対するものはいくつかある。確実に適用しておく必要があるだろう。

 米Microsoft Security Response Center(MSRC)のブログによれば、エンドユーザーが優先的に適用すべき修正パッチとしては、「MS10-006」「MS10-007」「MS10-008」「MS10-013」「MS10-015」の5件を挙げている。「MS10-015」以外はいずれも最大深刻度が“緊急”で、「MS10-008」以外はExploitability Index(悪用可能性指標)も最も高い「1」とされている。今月は、これらのセキュリティ更新プログラムについて見ていこう。

MS10-006:SMBクライアントの脆弱性(978251)

  • SMBのクライアントのプール破損の脆弱性 - CVE-2010-0016
  • SMBのクライアントの競合状態の脆弱性 - CVE-2010-0017

 「MS10-006」では、上記2件の脆弱性を修正する。どちらも、これまで一般には情報が公開されていない脆弱性だ。

 2件の脆弱性は、いずれも豪州のセキュリティ関連企業stratsecが発見したもので、同社のサイトにはこれらの脆弱性の詳細な技術情報も掲載されている。それによると、「CVE-2010-0016」は、通信用バッファの最大サイズの扱いに問題があり、SMBサーバーかのクライアントにメッセージを送る際に、不正なデータによりクライアントPCのメモリー破壊を起こすことができるというものだ。

 Windows XPおよびWindows Server 2003以前のOSはいずれもこの脆弱性を持っている。また、メモリー破壊時にはWindowsが特権モードで動いているため、結果的にこの不正なデータに含まれるプログラムは特権モード、つまりマシン上でどんな動作もできるモードで実行されることになる。結果的に、リモートから完全にPCを乗っ取ることができるというわけだ。

 もう1つの「CVE-2010-0017」は、前述の「CVE-2010-0016」に関連するものだ。具体的には、「CVE-2010-0016」の脆弱性を突く攻撃をする際に、2度同じような接続をすることで接続の競合状態を引き起こし、結果としてサービス拒否攻撃(DoS)を引き起こし、サーバーからクライアントPCの機能を止めてしまうことが可能になるというものだ。なお、この脆弱性は、CVE-2010-0016では対象となっていない、Windows 7/VistaおよびWindows Server 2008にも存在している。

MS10-007:Windows Shellハンドラーの脆弱性(975713)

 「MS10-007」は、Windows XP/2000およびWindows Server 2003が影響を受ける、Windows Shellハンドラーの脆弱性を修正するセキュリティ更新だ。

 この脆弱性を利用した攻撃としては、たとえば、特殊な細工がされたShell実行APIへのURIと見せかけたリンクをWebサイトやメール中に書いておき、それを標的となるユーザーにクリックさせて悪意のプログラムを実行させるというような方法が考えられる。なお悪意のプログラムは、Windowsにログオンしそのプログラムを実行したユーザーと同じ権限で実行される。

 この脆弱性は、発見者のLostmon Lords氏のブログに実証コードが掲載されており、技術的な検証も可能となっている。それによると、この脆弱性はたとえばIEなどのWebブラウザで「../../../」を含むようなURIによって、リモートからディスク上のプログラムを実行できるというものだ。

 具体的には、URIとして「handler:handler#:../../../C:\windows/system32/calc.exe」といったようなリンクをHTML中に書いておき、そのリンクが開かれると、Windowsのプログラムが実行されるというものだ。IFRAMEの属性としてこのURIを書いておけば、Webサイトを開いただけで任意のプログラムが実行できるようになるので、ウイルスプログラムをインターネットからダウンロードするといった動作も行えるだろう。

 簡単なHTMLが書ければ誰でも悪用が可能であるため、すぐにでも実際に悪用される可能性が高い脆弱性だと判断して良さそうだ。この修正パッチは確実に適用しておくべきだろう。

MS10-008:ActiveX のKill Bitの累積的なセキュリティ更新プログラム(978262)

 「MS10-008」は、Internet Explorer(IE)のKill Bitを設定することで、脆弱性のあるActiveXをIEで利用されることを防ぐものだ。

 「MS10-008」でKill Bit登録されるのは、「Data Analyzer ActiveXコントロール(max3activex.dll)」で、CLSIDは「E0ECA9C3-D669-4EF4-8231-00724ED9288F」。内容としては、SQL Server 2000と接続してOLAPと呼ばれるデータ分析プロセスを提供するものだ。このActiveXには境界条件判定に問題があり、ある特別な細工をされたデータを利用すると、メモリー破壊を起こし、読み込ませたPC上で悪意のプログラムが実行可能になる可能性があるということだ。

 また、マイクロソフト製品以外にも、下記のサードパーティ製のActiveXをKillBit登録している。マイクロソフトの発表によると、これらは不正な呼び出しで悪用が可能であるため、各社からKill Bit登録が要請されたものだとしている。

  • Symantec WinFax Pro 10.3用のActiveXコントロール(CLSID:C05A1FBC-1413-11D1-B05F-00805F4945F6)
  • Google Desktop Gadget v5.8用のActiveXコントロール(CLSID:5D80A6D1-B500-47DA-82B8-EB9875F85B4D)
  • Facebook Photo Updater 5.5.8用のActiveXコントロール(CLSID:0CCA191D-13A6-4E29-B746-314DEE697D83)
  • PandaActiveScan Installer 2.0用のActiveXコントロール(CLSID:2d8ed06d-3c30-438b-96ae-4d110fdc1fb8)

 なお、今回のActiveX の Kill Bitの更新プログラムに関しては、Exploitability Index(悪用可能性指標)がマイクロソフトからは発表されてない。MSRCブログによれば、Kill Bitの更新プログラムはIEで脆弱性のあるActiveXを実行させないためのレジストリ設定であって、存在が確認された脆弱性を修正するアップデートというわけではない、という理由からだとしている。今回に限らず、Kill Bitの更新プログラムに関しては、基本的に差し迫った悪用の懸念が考えられるか、実際に悪用されて騒ぎにならない限りは、マイクロソフトからは悪用可能性指標の発表はないと考えるべきだろう。

 筆者としては、もしActiveXが悪用がされた場合、どの程度確実にそれが悪用できるかはセキュリティ情報の重さ軽さを判断するのに必要な情報であると思うのだが、それがされないということであれば、基本的にはすべて危険であるとして行動すべきだろう。

 また、サードパーティ製のActiveXコントロールに関しては、ほとんど情報がないのも問題だ。今回の場合、Symantecからは情報が公開されていることが確認できたが、それ以外についてはどのような脆弱性で、ActiveX以外にどのような対応を行ったのかというような情報は無いようだ。バージョンアップによってCLSIDも異なる別プログラムを利用するようにしたのか、それとも単にIEでは使えなくしたのかの情報もなく、CVEにも脆弱性の登録がない。こうした対応では困るのは、セキュリティに気を使って利用しているユーザーの方だ。ともあれ、各社には脆弱性の情報公開を望みたい。

・Symantecによる脆弱性情報(英文)
http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=23348

MS10-013:Microsoft DirectShowの脆弱性(977935)

 「MS10-013」は、Windows 7/Vista/XP/2000およびWindows Server 2008 R2/2008/2003と多くのOSが影響を受ける、「DirectShowのヒープオーバーフローの脆弱性(CVE-2010-0250)」を修正する。

 内容的には、マイクロソフトによると「Microsoft DirectShowコンポーネントが特別な細工がされたAVIファイルを適切に処理しないためこの脆弱性が起こる」としている。この脆弱性の発見者であるZero day initiativeでは詳細な技術情報は公開していないが、この脆弱性を「ZDI-10-015 Microsoft Windows RLE Video Decompressor Remote Code Execution Vulnerability」と命名しており、「特別な細工がされたAVI」とは、特殊なパラメーターを使用したMicrosoft RLEビデオコーデックのファイルであることが推測できる。

 Microsoft RLEとは、マイクロソフトが開発したコーデックで、動画データ中の同じビットパターンの繰り返しを「パターン×繰り返し回数」で表現することでデータ圧縮を行うランレングス圧縮(Run Length Encoding)を利用するものだ。CPUパワーをほとんど使わずにデータを展開できることから、かつてアニメーション動画などでWindowsでの標準的なフォーマットとして利用されていた時期もあったが、現在ではあまり使われることのないコーデックだ。

 この脆弱性を利用した攻撃としては、不正なAVIファイルをWeb上に置く、あるいはメールで送りつけるなどして標的PCのユーザーに再生させ、ファイル中の悪意のプログラムを実行させることが考えられる。

 非公開の情報であったこともあり、現時点でこの脆弱性を利用した悪用は確認されていないが、対象OSが幅広いということもあるので、このセキュリティ更新プログラムは早めにPCに適用しておくべきだろう。


関連情報

(大和 哲)

2010/2/12 13:56