現在地 HOME > 掲示板
> IT2 > 105.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT2 > 105.html
★阿修羅♪
|
|
(回答先: IE用累積パッチの欠陥で事態は「危機的状況」【ZD Net記事】 投稿者 クエスチョン 日時 2003 年 9 月 21 日 08:43:01)
[2003/09/17]
今後も見つかる可能性が高い“超特大”セキュリティ・ホール,回避策の実施が不可欠 パッチが公開される前の“ゼロ・デイ・アタック”に備えよ【IT Pro記事】
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20030916/1/
マイクロソフトは9月11日,Windowsのセキュリティ・ホールを公開した。
これは,「Blaster」ワームなどが悪用したセキュリティ・ホールと同様
に“超特大”である。今後も,RPCサービスの実装に関係する“超特大”
セキュリティ・ホールが見つかる可能性は高い。パッチが公開される前の
“超特大”セキュリティ・ホールを悪用する攻撃――すなわち,「ゼロ・
デイ・アタック」――が発生する恐れもある。パッチの適用はもちろん重
要だが,可能な限り回避策を施して,未知の“超特大”に備える必要があ
る。
またもや“超特大”のセキュリティ・ホール
マイクロソフトが9月11日に公開したのは,以下のセキュリティ・ホー
ルである。
RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)
Blasterワームなどが悪用したセキュリティ・ホール「MS03-026」の再
来ともいえる,とても危険なセキュリティ・ホールである(関連記事)。
今回公開されたのは,Windows NT 4.0/2000/XP/Server 2003にデフ
ォルトで実装されている「RPCSS」サービスに見つかった 3種類のセキュ
リティ・ホールである。RPCSS サービスは,DCOM(Distributed
Component Object Model)をアクティブにするための RPC(Remote
Procedure Call)メッセージの送受信を処理するサービスである。DCOM
とは,ソフトウエア・コンポーネントがネットワーク上で直接通信するこ
とを可能にするプロトコル。RPC は,プログラム(プロセス)間通信のた
めのプロトコルである(用語については,「よく寄せられる質問」 など
に詳しい)。
RPCSS サービスの実装には,メッセージの入力チェックを適切に行わな
い3種類のセキュリティ・ホールが存在する。このため,細工が施された
PRC メッセージをRPCSS サービスに送信されると,バッファ・オーバーラ
ンが発生し,任意のコードを実行させられる可能性がある。
影響を受けるのは,Windows NT Workstation 4.0/NT Server 4.0/
Server 4.0, Terminal Server Edition/2000/XP/Server 2003。
Windows Me(Millennium Edition)は,影響を受けない。
今回のセキュリティ・ホールは,Blasterなどが悪用したセキュリティ
・ホール「RPC インターフェイスのバッファ オーバーランによりコード
が実行される (823980) (MS03-026)」と同様に,ほとんどのWindowsでデ
フォルトで稼働している機能(今回は,RPCSS サービス)が対象となる。
特別なソフトウエアや機能を組み込んでいなくても影響を受ける。サーバ
ーやクライアントといった利用形態に関係なく影響を受ける。
さらに,ユーザーが「WebページやHTMLメールを閲覧する」といったア
クションをしなくても影響を受ける。マシンをネットワークに接続してい
るだけで攻撃を受ける可能性がある。守る側からすれば,とても厄介なセ
キュリティ・ホールであり,まさに“超特大”といえる。影響を受ける仕
組みの詳細は「MS03-026」とは異なるが,インパクトは同等といってよい。
既に公開されていた“第3のホール”
今回公開されたセキュリティ・ホールは,以下の3種類である。
(1)バッファ・オーバーランの脆弱性(CVE-CAN-2003-0715)
(2)バッファ・オーバーランの脆弱性(CVE-CAN-2003-0528)
(3)サービス拒否の脆弱性(CVE-CAN-2003-0605)
(1)と(2)については,前述のようにWindows NT 4.0/2000/XP/
Server 2003が影響を受けるが,(3)については Windows 2000だ
けが影響を受ける。
今回のセキュリティ・ホールはそれぞれ誰が発見したのか。それを知る
ために,セキュリティ情報の「謝辞」の項を見てみよう。
まず,(1)の「バッファ・オーバーランの脆弱性」を発見したのは
「eEye Digital Security」であることが分かる。(2)の「バッファ・オ
ーバーランの脆弱性」を発見したのは「NSFOCUS Security Team」である。
「Tenable Network Security」の Xue Yong Zhi 氏とRenaud Deraison 氏
は同セキュリティ・ホールの解析などでMicrosoftを支援したとされる。
日本語のセキュリティ情報には明示されていないが,オリジナルである
英語のSecurity Bulletinには「for reporting the buffer overrun
vulnerabilities and working」と記載されているように,各社各氏から
は,マイクロソフトへ事前報告や協力があったことが分かる。このことか
ら,(1)と(2)については,セキュリティ情報の公開前に,このセキュ
リティ・ホールが悪用されている可能性は小さいと考えられる。
マイクロソフトからセキュリティ情報やパッチが公開された後,eEye
Digital Securityは「Microsoft RPC Heap Corruption Vulnerability -
Part II」,NSFOCUS Security Teamは「Microsoft Windows RPC DCOM
Interface Heap Overflow Vulnerability(SA2003-06)」,Tenable
Network Securityは「TENABLE ALERT: MICROSOFT SECURITY BULLETIN -
MS03-039」として,それぞれレポートを公開した。
(3)については,「謝辞」の項では言及されていない。つまり,マイ
クロソフトへの事前報告や協力はなかった。実は,(3)について
は「Xfocus」から「Microsoft Windows 2000 RPC DCOM Interface
DOS AND Privilege Escalation Vulnerability」として,7月25
日に公開されていた。このレポートには,セキュリティ・ホール
の存在を証明するためのコード――いわゆる“concept codes”―
―が添付されていた。つまり,7月25日の時点でconcept codesも
公開されていたセキュリティ・ホールに対するパッチが,ようや
く公開されたのだ。
Xfocusとは,中国で1998年に設立されたグループで,自らを非営利的で
自由な技術組織(a non-profit and free technology organization)と
位置付けている。Xfocusは,同じく7月25日に「The Analysis of LSD's
Buffer Overrun in Windows RPC Interface」というレポートを公開して,
セキュリティ業界に衝撃を与えた。
これは,「The LSD Research Group(The Last Stage of Delirium
Research Group)」が発見した“超特大”のセキュリティ・ホール「MS03
-026」を分析したレポートである。レポートにはExploitコードも含まれ
ている。レポートと同じ内容は,複数のセキュリティ関連メーリング・リ
ストにも投稿された。
「MS03-026」を発見したThe LSD Research Groupは,このセキュリティ
・ホールの影響を重く見て,その詳細を明らかにしなかった(関連記事)。
しかし,マイクロソフトから「MS03-026」が公開された7月16日(米国時
間)から9日後には,Xfocusから詳細なレポートとExploitが公開されたの
だ。
米国時間8月11日以降出現したBlasterおよびその亜種などは,このとき
に公開されたExploitをベースにしていると考えられる。
以上のように,「MS03-026」については,セキュリティ・ホールが公開
されてから,およそ10日後にExploitが公開され,その20日後にはワーム
が出現したのである。今後,それぞれの間隔はどんどん短くなっていくだ
ろう。
今回の「MS03-039」に関しては,マイクロソフトがセキュリティ情報と
パッチを公開したのとほぼ同時に,前述のようにeEye Digital Security
が詳細な技術レポートを公開している。このため,「MS03-026」よりも短
時間のうちに,Exploitならびにワームが公開(出現)する可能性が高い。
クライアントも含めて,すべてのWindowsマシンへのパッチ適用を徹底す
る必要がある。
ゼロ・デイ・アタックの可能性大
今回公開された「MS03-039」対策を施すことはもちろん重要だが,話は
それだけには留まらない。「MS03-026」からほどなくして「MS03-039」が
公開されたことから,今後も(広義の)RPC関連のセキュリティ・ホール
が見つかる可能性が高いことが明らかになったといえる。そして,「MS03
-026」や「MS03-039」のように,パッチが公開されるまでExploitやワー
ムが出現しないとは限らない。セキュリティ・ホール情報やパッチが公開
される前に,新たな“超特大”のセキュリティ・ホールを悪用する攻撃―
―いわゆる,「ゼロ・デイ・アタック(Zero Day Attack)」――が発生
する可能性があるのだ。
「MS03-026」や「MS03-039」といったPRC 関連のセキュリティ・ホール
は,攻撃者にとって“理想的”なセキュリティ・ホールである。ほとんど
のWindowsがデフォルトで(「デフォルト・セキュア」をうたっている
Windows Server 2003も例外ではない),ネットワークに接続しているだ
けで,システムを乗っ取られるような攻撃を受けるセキュリティ・ホール
だからだ。
当然,攻撃者はもちろん,セキュリティ・ベンダーや研究者など,セキ
ュリティに携わる多くの人の興味の対象となるので,「MS03-026」以降,
類似のセキュリティ・ホールは近いうちに発見されるだろうと,筆者は予
想していた。そして予想通り,「MS03-039」が公開された。
「MS03-039」が公開されたのは9月10日(米国時間)であるが,セキュ
リティ・ホールの報告を受けてから,詳細を明らかにするのに要した時間,
加えて,パッチの作成や検証に必要だった時間を考えれば,セキュリティ
・ホール自体は,もっと早くに発見されていたと考えられる。
実際,「MS03-039」の(3)「サービス拒否の脆弱性」については,
Xfocusから7月25日の時点で,その詳細とconcept codesが公開されていた。
(1)および(2)の「バッファ・オーバーランの脆弱性」がアンダーグラ
ウンドで発見されて,誰にも知らされることなくゼロ・デイ・アタックが
行われていた可能性もあったのだ。
パッチが公開されているセキュリティ・ホールをふさぐことはもちろん
のこと,ゼロ・デイ・アタックを防ぐために,RPC関連の未知のセキュリ
ティ・ホールにも対応可能な回避策を採ることが不可欠なのである。幸い,
「MS03-026」や「MS03-039」の回避策は基本的に共通であり,RPC関連の
未知のセキュリティ・ホールに対しても,かなりの確度で有効だと考えら
れる。
具体的な回避策は,「よく寄せられる質問 : マイクロソフトセキュリ
ティ情報(MS03-039)」や「Blaster に関する情報」の回避策の項が参考
になる。攻撃を受けてからでは遅い。ゼロ・デイ・アタックは発生するも
のだと考えて,万全の備えが必要だ。
「MS03-039」の危険性を強調した警告を
Blasterワームなどの蔓延で反省したためか,マイクロソフトでは,今
回の「MS03-039」について異例の対応をしている。内容は,以下の3点で
ある。
(1)2003年6月30日で延長サポートが終了した「Windows NT
Workstation 4.0」も影響を受けることを明示し,併せて修正パッ
チを公開した
(2)サポートが終了しているWindows 2000 Service Pack(SP)2 にも
パッチを適用できることを明示した
(3)「MS03-039」のパッチを適用していないシステムを調べるツール
(KB824146scan.exe)を公開した
これらについては「MS03-026」においても実施したが,いずれもワーム
が蔓延した後のことである。ところが今回は,セキュリティ情報の公開と
同時に実施した。
さらに,「マイクロソフト サポート技術情報 824146 - [MS03-039]
RPCSS サービスのバッファ オーバーランによりコードが実行される」で
は,サポートの対象外の製品に関しても,例外的に影響度を言及している。
具体的には,Windows 95/98/98 Second Edition に関しては,DCOMをイ
ンストールしていても(デフォルトではインストールされていない),今
回のセキュリティ・ホールに関係する機能は含まれていないために,影響
を受けないことを記している。
以上の対応については評価できる。しかし,ユーザーへの「MS03-039」
に関する告知の状況については不十分だといわざるを得ない(以下,いず
れも9月15日時点の状況)。
「セキュリティ情報センターのご案内」や「セキュリティ スクエア」
には,「MS03-039」について注意を呼びかけるような記述はない。
「マイクロソフト セキュリティ」では,「Important Announcements」
として,今回の「MS03-039」と「Office をご利用の皆様 : Office のア
ップデートを実行する」,「Blaster に関する情報」のリンクを紹介する
に留めている。
「TechNet セキュリティ センター」では,「Blaster に関する情報 (8
/12 公開)」などと並べて,「重要」の赤いメッセージ付きで「MS03-039」
を記載している。
「マイクロソフト セキュリティ」と「TechNet セキュリティ センター」
のページを見れば,確かに「MS03-039」は目に付く。重要そうであること
は分かる。しかし,いくつか公開されているパッチや情報の一つという感
は否めない。
一方 米Microsoftでは,「TechNet Security」(「TechNet セキュリテ
ィ センター」に相当すると考えられる)などのページにおいて,
「Action: Install New Security Patch Immediately」(アクション:新
しいセキュリティ・パッチをすぐにインストールせよ)というキャッチ・
コピーと共に,Windows NT 4.0/2000/XP/Server 2003のユーザーに
「MS03-039」のパッチをすぐに適用するよう促している。これならば,
「MS03-039」が特に重要なセキュリティ・ホールであることが明白である。
マイクロソフトが今回の「MS03-039」を,Blasterなどが悪用した
「MS03-026」と同じように“超特大”であると認識するのなら,
Microsoft同様,「MS03-039」の重要性が一目でわかるような積極的な告
知をお願いしたい。
“お勧め”設定でIEのホールを回避
上記以外のWindows関連セキュリティ・トピックス(2003年9月15日時点
分)については,スペースの都合上,詳細は割愛する。各プロダクトごと
にまとめたリンクを記事末に記したので,参考にしてほしい。IT Proでも
関連記事をいくつか掲載している。それぞれの詳細については,リンク先
の情報やIT Proの過去記事を確認していただきたい。
特に,8月21日に公開された「Internet Explorer 用の累積的な修正プ
ログラム (822925) (MS03-032)」では,修正パッチが「オブジェクト・タ
グの脆弱性」を適切に修正しないという情報が追加されているので要確認
である(関連記事)。
このコラムでもたびたび紹介している「Unpatched IE security holes」
では,この 「オブジェクト・タグの脆弱性」を含めて,9月だけでも9件
の未対応(パッチ未公開)のセキュリティ・ホールがリストアップされて
いる。
特に,「Media bar ressource injection」としてリストアップされて
いるセキュリティ・ホールは深刻である。細工が施されたWebページを
Internet Explorer(IE)で閲覧すると,任意のコードを実行させられる
恐れがある。IEのセキュリティ設定において,「スクリプト」の「アクテ
ィブ スクリプト」を無効にすれば回避できる。
「アクティブ スクリプト」の無効にすることは,過去に筆者が解説し
た「IEを使い続けるための“お勧め”設定」の一つである。“お勧め”設
定を参考にして,未対応のセキュリティ・ホールの影響を回避してほしい。
Windows XPユーザーは,マイクロソフトが公開した「Windows XP
Service Pack 1 適用のお願い - Windows XP 初期出荷版(SP1 未適用製
品)向け修正プログラム提供終了のお知らせ」にも注意したい。同社では,
Windows XP SP1未適用で出荷したパソコン向けの新規パッチの提供を終了
するという。ただし,Windows XP SP1 を含む,2003年 9月3日までに公開
済みのパッチは引き続き提供する。
マイクロソフト セキュリティ情報一覧
『Windows NT Workstation 4.0/NT Server 4.0/Server 4.0,Terminal Server Edition/2000/XP/Server 2003』
◆RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)
(2003年 9月11日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)
『NT Server 4.0/NT Server 4.0, Terminal Server Edition/2000/XP/Server 2003』
◆NetBIOS の問題により,情報が漏えいする (824105) (MS03-034)
(2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 注意)
『IE 5.01/5.5/ 6/6 for Windows Server 2003』
◆Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)
(2003年 9月 9日: パッチが 「オブジェクト タグの脆弱性を適切に修正しないことを追記)
(2003年 8月29日:再起動に関する詳細な情報を追記)
(2003年 8月26日:Windows XP 用パッチの ASP.NET に関する問題を追記)
(2003年 8月25日:「警告」欄に 827641 の情報を追記)
(2003年 8月21日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)
『MS Office アプリケーション,Visual Basic for Applications SDK 5.0/6.0/6.2/6.3』
◆Visual Basic for Applications の問題により,任意のコードが実行される (822715) (MS03-037)
(2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 緊急)
『MS Office,FrontPage,Publisher,Works Suite』
◆WordPerfect コンバータのバッファオーバーランにより,コードが実行される (827103) (MS03-036)
(2003年 9月10日:Office 97/Word 98 日本語版用パッチを公開)
(2003年 9月 5日:Office XP の管理者用アップデートのリンクを追加)
(2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 重要)
『MS Word 97/98/2000/2002,Works Suite』
◆Microsoft Word の問題により,マクロが自動的に実行される (827653) (MS03-035)
(2003年 9月10日:Word 97/Word 98 日本語版用パッチを公開)
(2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 重要)
『MS Access 97/2000/2002』
◆Microsoft Access Snapshot Viewer の未チェックのバッファにより,コードが実行される (827104) (MS03-038)
(2003年 9月 4日:日本語情報および日本語版パッチを公開,最大深刻度 : 警告)
TechNet Online セキュリティ
◆2003 年 8 月 セキュリティ 警告サービス 月刊サマリー
◆Windows XP Service Pack 1 適用のお願い - Windows XP 初期出荷版(SP1 未適用製品)向け修正プログラム提供終了のお知らせ (2003年 9月 5日)
題名には必ず「阿修羅さんへ」と記述してください。