July, 2008

小野寺です。

「DNSの脆弱性とか、自動更新を止めるワームとか」でも書きましたが、DNSの脆弱性の詳細が公開されたことで対応を急ぐ必要が出ています。
それに伴って、その事を伝えるための、セキュリティ アドバイザリ 956187 を公開しました。

また、MS08-037 を更新して、3つの既知の問題情報を追加しました。詳細は、サポート技術情報 953230 を見てもらいたいのですが、簡単に紹介しておきます。

• ポートの競合問題
  追加のサービスを実行している DNS サーバーで、ソケット プールに割り当てるポート領域に静的な UDP ポートが必要な場合、ポートの競合が起こり、サービスが停止する可能性がある。
• SBS 環境に、この更新プログラムをインストールすると、どのような問題が起こる可能性がありますか?
  Windows Small Business Server (SBS) 2003 で、SBS のシステムがサービスを停止する、または正しく動作しない可能性がある。詳細は、サポート技術情報 956189 。
• 境界ファイアウォールおよび境界の NAT デバイスに関する現象
  NATデバイスによっては、DNS クエリが、ソース ポートをランダムに使用しなくなる可能性がある。

小野寺です。

最近、関西方面のセキュリティ勉強会が活発で、羨ましく思っていた。 その中でも、活発な印象のある「まっちゃ139」が関東でも「まっちゃ445」として勉強会を開催するみたいです。 これからは、関西だけでなく、関東での活動も楽しみです。

■[IT][セキュリティ][まっちゃ４４５]第01回まっちゃ４４５勉強会
http://d.hatena.ne.jp/ripjyr/20080823

# ところで、445は、やはりあのポートの番号が由来なんでしょうか？今後、機会があったら伺ってみたいところです。

小野寺です。

DNS の脆弱性について 
さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・

ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。 これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。

今日はまず、自分自身の環境を再度、見直して欲しい！
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。

Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。

また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。 

Microsoft Updateを妨害するワーム
この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。

自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft Updateのサイトで、エラー 1058 や エラー  0x8DDD0018 が表示される事が多い様です。

以下に、設定を既定の推奨設定に戻すコマンドとレジストリファイルを手順と共にをサンプルとして載せておきます。

1. OneCare Live PC Safety でウイルス検査
   駆除できないものがある場合は、セキュリティ情報センターに相談
   感染していたワームが駆除てきた場合は、2 へ

2. 自動更新の設定の回復
以下の内容をメモ帳等に張り付けて、"au.reg"等のファイル名で、デスクトップに保存し、au.regをダブルクリックする。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003

3. 自動更新の実行
    以下の内容をメモ帳等に張り付けて、"au.cmd"等のファイル名で、デスクトップに保存し、au.cmdをダブルクリックする。Windows Vista の場合は、"sc config BITS start= demand" を "sc config BITS start= delayed-auto”に変更しておくと、完全に既定の設定です。

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions /t REG_DWORD /d 4 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d 4 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallTime /t REG_DWORD /d 3 /f

sc config BITS start= demand
sc config wuauserv start= auto
sc start wuauserv

4. ウイルス対策ソフトが未導入なら導入する
  Microsoftからは、Windows Defender (スパイウェア対策、無償) や、OneCare (総合セキュリティ対策ソフト) を提供しています。
  また、各 ISP から、色々なセキュリティサービスを提供していますので、自分の加入しているISPのサイトをみてみると良いでしょう

 

2008/07/29: 対応方法を変更

小野寺です。

7月のワンポイントセキュリティを公開しました。

2008年7月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。

最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。

小野寺です

今月は、事前通知でお伝えしていたとおり 計 4 件 (重要 4件)を公開しました。

MS08-037 (DNS): DNS クライアントとサーバー双方に関する脆弱性です。DNSが悪用されると、正しいドメイン名への要求が、不正なサイトのIPアドレスに変換される事で、結果として本来意図しないサイトに誘導される危険があります。とはいえ、この脆弱性を悪用するのは余り容易ではないのですが、特に、DNSサーバー側が侵害されると被害が広範に及ぶ上気づきにくい事も多いため、注意したいとことろです。

MS08-038 (Windows Explorer): Windows エクスプローラに関するものです。Windwos Vista以降のエクスプローラにある、いわゆるデスクトップサーチに関連するのですが、「保存された検索」という検索条件等を保存したファイルがあります。特別な細工をされた「保存された検索を開く事で、コードが実行される可能性があります。リモートでコードが実行される脆弱性ではありますが、悪用には、幾つかの条件とユーザー操作を必要とするため、重要としています。

MS08-039 (OWA): Exchange Server の機能のひとつである Outlook Web Acceess (OWA) に関するものです。 いわゆるクロスサイトの脆弱性になりますので、攻撃を受けるのは、Exchange Server 側ではなく、その利用者側となります。

MS08-040 (SQL): SQL Serverの脆弱性です。基本的には、SQL Server上で適切な権限で特定のDDLや関数を使用する事で、コードの実行や特権の昇格が行えます。SQL Serverの脆弱性というとSQL スラマーを思い出してしましますが、スラマーの予期の様にUDPパケットを一方的に送信する事で悪用できるわけではなく、認証が発生しますので、広範な悪用は想像しにくいですね。
今回は、脆弱性よりも運用面で注意をする必要があります。SQL Server 7.0はMicrosoft Updateにも対応しておらず、更新プログラムの適用が手作業で行われいた世代の製品ということもあり、適用漏れが発生しない様に注意が必要な製品となります。特に、アプリケーションの一部として展開されている MSDEは、利用者側も存在を認知していない可能性があり適用漏れの原因になりやすいと言えます。

企業内で、各PCのインストール状況を確認する方法の一つとして、WMI を使った、SQL Server関連のサービスを列挙するという方法があります。

---- スクリプトサンプル
Set WMIService = GetObject("winmgmts:" & "{impersonationLevel=Impersonate}!\\.\root\cimv2")
Set ServicesCollection = WMIService.ExecQuery ("SELECT DisplayName, PathName FROM Win32_Service WHERE PathName like '%sqlservr.exe%'")

For Each Service in ServicesCollection
    Wscript.Echo Service.DisplayName & " : " & Service.PathName
Next
----

また、ユーザーが、ファイル検索でディスク上の sqlservr.exe を検索する方法でも存在は確認できます。あとは、各ファイルのファイルバージョンや製品バージョンを確認する事で対応の有無を確認する事が可能です。

今月もセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

それにしても、SQL Server の更新は、久しぶりです。MS03-031が最後のはずですので、実に5年ぶりということになります。あまりにも久しぶりなので、SQL Serverの管理者は、更新の適用方法に関するKBを事前に読んでおきたいですね。

SQL Server 7.0 への更新プログラムの適用方法としてサポートされている方法

http://support.microsoft.com/kb/953743

SQL Server 2000 インストーラおよび MSDE 2000 インストーラによって依存サービスが停止される

http://support.microsoft.com/kb/953742

SQL Server 2005 インストーラによって依存サービスが停止される

http://support.microsoft.com/kb/953741

SQL Server 2000 で無効になっている SQL Server のインスタンスを確認して有効にする方法

http://support.microsoft.com/kb/953740

SQL Server 2005 インストーラによって無効な状態の SQL Server サービスのインスタンスが更新されない

http://support.microsoft.com/kb/953739

小野寺です。

Windows Server Update Services (WSUS) 3.0 および 3.0 SP1を使用して更新プログラムを配布している場合に、配信が正常に行われない可能性があることがわかりました。 この更新にはセキュリティ更新プログラムも含まれるため、本日この件に関して、セキュリティ アドバイザリ 954960 発行しました。

  http://www.microsoft.com/technet/security/advisory/954960.mspx (英語)
  http://www.microsoft.com/japan/technet/security/advisory/954960.mspx (日本語)

先日アドバイザリ 954474でお知らせしたSCCMの件とはまた別の事象となります。
この現象に当たるとWSUS サーバーの以下のログにエラーが確認できるはずです。

%Program Files%\Update Services\Log Files\SoftwareDistribution.log :
2008-06-14 02:59:57.642 UTC Error  w3wp.12       ClientImplementation.SyncUpdates       System.ArgumentException: Item has already been added. Key in dictionary: '8862'  Key being added: '8862'
  (省略)
2008-06-14 02:59:57.642 UTC Warning       w3wp.12       SoapUtilities.CreateException     ThrowException: actor = http://wsusebc/ClientWebService/client.asmx, ID=c0a7445f-b989-43fa-ac20-11f8ca65fa8c, ErrorCode=InternalServerError, Message=, Client=?

または、WSUSと同期するクライアントのログに以下のようなログが残ります。

%windir%\WindowsUpdate.log :
2008-06-13    19:59:56:617  788   ee4    PT     WARNING:     ErrorCode:InternalServerError(5)
  (省略)
2008-06-13    19:59:56:617  788   ee4    PT     WARNING:     ID:c0a7445f-b989-43fa-ac20-11f8ca65fa8c

原因は、Office 2003 Service Pack 1 (UpdateID:c0a7445f-b989-43fa-ac20-11f8ca65fa8c)に関する情報を更新している過程で、WSUSの承認の状態に不整合が発生し、結果とし処理を停止してしまうことにあるようです。

この問題に合致する場合、セキュリティ情報にある手順を試すことで、この問題を解消できます。
現在引き続き調査を進めている状況ですので進捗に合わせて、アドバイザリを更新していくことになると思います。