Microsoftは、同社の最新OSである、Windows 7とWindows Server 2008 R2に影響のあるサービス妨害攻撃を可能にする脆弱性について知らせるセキュリティアドバイザリを公開した。
研究者のLaurent Gaffie氏は、Microsoftのセキュリティ対応センターにパッチを必要とする問題について認めさせることができなかったことで、この脆弱性に対する攻撃コードの公開に踏み切った(記事末尾のUPDATEを参照のこと)。
Gaffie氏の攻撃コード公表後、Microsoftは素早くセキュリティアドバイザリ977544を公表し、パッチ適用までの緩和策を提示すると同時に、この「詳細」な攻撃コードが、ハッカーがWindows 7およびWindows Server 2008 R2のシステムが手動で再起動されるまで応答しなくなる攻撃を行うための手引きとなりうることを認めた。
この脆弱性の原因については、次のように説明されている。
Microsoft Windows Server 2008 R2およびWindows 7のカーネルは、遠隔のSMBサーバーから、(1)SMBv1あるいは(2)SMBv2の、誤ったvalueの値を持つNetBIOSのヘッダを含む応答パケットを通じて、サービス妨害(無限ループとシステムのハング)を引き起こされ得る。
この脆弱性は、ウェブから悪用することができる。
ウェブを使った攻撃シナリオにおいては、攻撃者は特別に作成されたURIを含むウェブページをホストする必要がある。そのウェブサイトを閲覧したユーザーは、攻撃者の管理下にあるSMBサーバに対するSMB接続を行うことを強要され、その後ユーザーに対し、悪意を持って作成された応答が送られる。この応答によって、ユーザーのシステムが手動で再起動するまで反応しない状態となる可能性がある。さらに、侵害を受けているウェブサイトや、ユーザーが作成したコンテンツを受け入れるかまたはホストするウェブサイトは、この脆弱性を悪用する特別に作成されたコンテンツを持つ可能性がある。そのような手法を用いない場合、攻撃者はユーザーに対して用意したウェブサイトを閲覧するようにし向ける必要があり、これは通常、電子メールメッセージやインスタントメッセンジャーのメッセージのリンクをクリックさせることで、攻撃者のサイトを閲覧させることで行われる。
まだパッチが提供されていない現在、Microsoftは影響を受けるユーザーに対し、ファイアウォールでTCPポート139番と445番をブロックすることを推奨している。この攻撃を防ぐには、Windowsユーザーはインターネットとの間のSMB通信をすべてブロックする必要がある。
UPDATE:Gaffie氏は、この攻撃コードを公表するという判断は、やはり未パッチの別の脆弱性に対するMicrosoftの態度に関係していることを明らかにする投書を寄せてくれた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
