マイクロソフト月例パッチ--自動ダウンロード攻撃用のコードが近日中に登場か

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2010年04月14日 12時29分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間4月13日、25件のセキュリティ上の脆弱性を修正する11件のセキュリティ情報を公開した。修正された脆弱性には、ウェブページを閲覧しただけで攻撃を受けてしまう攻撃(自動ダウンロード攻撃)の危険があるものもいくつか含まれている。

 これらのセキュリティ情報のうち2つは、Windows 7およびWindows Server 2003 R2を含むすべてのバージョンのWindowsに対して「緊急」にレーティングされている。Microsoftは、一部のケースで「安定した悪用コード」が30日以内に登場すると予想しており、これらのパッチを直ちに適用することの重要性を強調している。

 同社はユーザーに対して、今月公表された3つのセキュリティ情報(MS10-019、MS10-026、MS10-027)に特に注意を払うように促している。その理由は以下のとおりだ(編集部注:MSRCブログより引用)。

  • MS10-019はすべてのバージョンのWindowsに影響がある。このセキュリティ情報に対しては、Exploitability Indexとして2を与えたが、この問題は攻撃者が署名付きの実行可能なコンテンツ(PEおよびCABファイル)を、署名を無効にすることなく修正することを可能にするものだ。WU/MUコンテンツはこの問題の影響を受けないことに注意してほしい。
  • MS10-026はWindows 7、Windows Server 2008 R2、Itanium版のWindows Server 2008およびWindows Server 2003には影響がない。しかし、この問題はWindows 2000、Windows XP、Windows Server 2003、Windows Server 2008では緊急にレーティングされている。この脆弱性は、ウェブページの読み込み時にストリーミングが開始される、特別に細工されたAVIファイルをホストするウェブページを閲覧するだけで悪用される可能性がある。
  • MS10-027はWindows 2000およびWindows XPのユーザーにのみ影響があり、特別に細工されたウェブページを閲覧するだけで悪用される可能性がある。

 MicrosoftのSR&Dブログに掲載されている以下の表を見れば、今回公表されたセキュリティ情報、深刻度、緩和策を一覧することができる。

セキュリティ情報 可能性の高い攻撃ベクター 最大深刻度 最大のExploitability Index評価 直近30日間に考えられる影響 緩和策および注意事項
MS10-027

(WMP)

悪質なウェブページの閲覧。 緊急 1 安定した悪用コードが開発される可能性あり。 Windows Vista、Windows Server 2008、Windows 7には影響なし。
MS10-026

(DirectShow)
悪質なウェブページの閲覧、または悪質なAVI動画を開く。 緊急 1 安定した悪用コードが開発される可能性あり。 Windows 7のコーデックには脆弱性なし。
MS10-019

(WinVerifyTrust)
悪質なEXEファイルをダブルクリックする、コンテンツが信頼できる発行元の証明を受けていると表示されることにより悪質なコンテンツを実行してしまう。 緊急 2 Authenticodeのチェックをv2からv1に引き下げる、実際に動作する概念実証コードが登場する可能性あり。Authenticode v1は強度の弱いアルゴリズムとなっている。コードの実行に至るには、攻撃者はAuthenticode v1を迂回する方法を発見する必要がある。 Microsoft UpdateおよびWindows Updateのクライアントは直接的にはこの脅威に対する脆弱性を持たない。
MS10-020

(SMB Client)

攻撃者は悪質なSMBサーバを企業ネットワークにホストする。攻撃者は被害者を誘導してリンクをクリックさせ、この悪質なSMBサーバに対するSMB接続を開始させる。 緊急 2 サービス妨害を引き起こす脆弱性に対する概念実証コードはすでに存在する。これとは異なるクライアントサイドのSMBの脆弱性に対する、サービス妨害を引き起こすことの多い不安定な悪用コードが開発される可能性がある。

多くの企業では、Egress filteringによって企業ネットワークへの攻撃者のアクセスは限定的なものになっている。

異なる悪用方法が存在するいくつかの問題がある。詳細についてはSRDブログを参照。

MS10-022

(VBScript)

被害者が悪質なウェブページを閲覧し、VBScriptのメッセージボックスでF1を押すよう誘導される。 重要 1 ユーザーがF1を押した後コードが実行される悪用コードが存在し公開されている。公に悪用コードが出回っているにもかかわらず、実際に攻撃が行われたという報告はまだない。

Windows 7、Windows Server 2008、Windows Vistaでは、この脆弱性は既定の状態では悪用できない。これらのプラットフォームでは多層防御として更新プログラムが提供されており、深刻度の評価の対象となっていない。

Windows Server 2003は、Enhanced Security Configurationの存在により、規定の状態では脆弱性を持たない。

MS10-025

(Windows Media Services)
被害者のWindows 2000のマシンでWindows Media Servicesが有効になっていた場合、攻撃者はポート1755(TCPあるいはUDP)を使用し、ネットワークを経由した攻撃を行うことができる。 緊急 1 安定した悪用コードが開発される可能性あり。 Windows 2000にのみ影響がある。
MS10-021

(Kernel)

ローカルでコードを実行できる攻撃者がこの脆弱性を悪用し、高いレベルの特権でコードを実行する。 重要 1 8件の脆弱性のうち、1件以上の脆弱性について安定した悪用コードが開発される可能性あり。 SRDブログの記事で、Windowsレジストリリンクの脆弱性について説明している。
MS10-024

(SMTP Service)

攻撃者が悪質なDNSサーバによって処理されるDNS問い合わせを開始することにより、64ビット版Windows Server 2003上で実行されているSMTPサービスをクラッシュさせる。 重要 n/a コードが実行される可能性はない。SMTPサービスをクラッシュさせる概念実証コードが登場する可能性はあるが、Exchange Serverについては可能性はない。 Exchange Serverは、脆弱性のあるバージョンが64ビット版アプリケーションとして出荷されたことがないため、直接的にはサービス妨害を引き起こす脆弱性の影響を受けない。32ビット版のExchange Serverに対し、追加的なDNSの保護を付加するセキュリティアップデートが適用される。
MS10-028

(Visio)

被害者が悪質な.VSDファイルを開く。 重要 1 Visioに対する攻撃はあまり出回っていない。悪用コードがリリースされるかどうかは定かではない。 Officeがインストールされているケースのほとんどでは、Visioはインストールされていない。
MS10-023

(Publisher)

被害者が悪質な.PUBファイルを開く。 重要 1 Publisherに対する攻撃はあまり出回っていない。悪用コードがリリースされるかどうかは定かではない。
MS10-029

(ISATAP)

攻撃者がIPv4ラッパーの内部にIPv6の攻撃パケットをカプセル化することで、ソースアドレスを偽装する。これによって、攻撃者は本来ならブロックされているIPv6のあて先に到達することができる可能性がある。 警告 n/a 概念実証コードが公表される可能性あり。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]