日本のセキュリティチーム (Japan Security Team) : DNS

2009年6月のセキュリティ情報

JSECTEAM — Tue, 09 Jun 2009 15:09:00 GMT

小野寺です

2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。
また、合わせて、MS09-017の更新、セキュリティアドバイザリを 2件公開し、2件を更新しています。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-018 (Active Directory):
特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。

MS09-019 (Internet Explorer):
幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。
公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。

MS09-020 (IIS):
特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。
セキュリティアドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。

MS09-021 (Excel):
特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。

MS09-022 (Spooler):
特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。
リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。

MS09-023 (Windows Search):
特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。
今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。

MS09-024 (Worksコンバーター):
特別な細工が施されたWorksファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

MS09-025 (Kernel):
特別な細工が施されたプログラムを実行する事で、特権の昇格が発生する可能性があります。

MS09-026 (RPC):
特別な細工が施されたRPCメッセージが処理される事で、特権の昇格が発生する可能性があります。
脆弱性の詳細が公開されていますので、早々に更新を適用する事をお勧めしますが、実際に悪用できる状況がある程度限定できるため、適用時期を十分に検討する事ができる場合もあります。

MS09-027 (Word):
特別な細工が施されたWordファイルを開くことで、リモートでコードが実行される可能性があります。
MS09-021 同様に、Office 2000のみ、深刻度を緊急と評価しています。

セキュリティ情報 (更新):
MS09-017 (PowerPoint):
MS09-017の初回公開時点で、提供していなかった Mac 用 PowerPoint等の更新プログラムの提供開始しました。

セキュリティアドバイザリ (新規):
セキュリティアドバイザリ (971888): DNS デボルブ用の更新プログラム
DNSで名前解決を行う際に、デボルブと呼ばれるドメインサフィックスを遡る様に再起検索する仕組みがあります。この遡る階層レベルを制限できる機能を新たに追加するための更新プログラムの提供をお知らせするものです。この更新プログラムにより、名前解決の挙動が変更となる環境があり、適用する前にアドバイザリおよびサポート技術情報を熟読する事をお勧めします。

セキュリティアドバイザリ (969898): ActiveX の Kill Bit 更新プログラムのロールアップ
Internet Explorerで、望まれないActive Xが実行されないように制限するためのKillbitを追加するための更新プログラムの提供をお知らせするものです。Microsoft製品の脆弱性に新たに対応するものではなく、3rd partyソフトウェアの脆弱性にのみ新たに対処しているため、通常の更新プログラムとして提供しています。

セキュリティアドバイザリ (更新):
セキュリティアドバイザリ (945713): Web プロキシ自動発見 (WPAD) の脆弱性により情報漏えいが起こる
WPADを検索する際に、デボルブにより組織外のWPADを検索してしまう可能性があった件について、アドバイザリ 971888の公開に合わせて対処方法等を更新しています。

セキュリティアドバイザリ (971492): インターネットインフォメーションサービスの脆弱性により、特権が昇格される
 MS09-020 で脆弱性に対処したため、更新しています。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、InternetAntivirus に対応しています。どちらも、最近特に増加を続ける、詐欺的ウイルス対策ソフトウェアの一種となります。

余談：
数か月前の事ですが、Genoとその系列のマルウェア(JSRedir-R, JS/Gamburl)が騒がれていますが、ぜひ、この機会にWindows等のMicrosoft製品だけではなく、他社のアプリケーション等についても更新プログラムが適用されているかを意識してみてください。丁度、Adobe社も本日新しいセキュリティパッチを提供開始しているようですので、関係のある方はMicrosoft Updateのついでに適用しておく事をお勧めします。

また、国内で Geno等を拡散しているWebサイトが少なからずあるようです。今一度、自身のWebサイトのコンテンツをチェックしてみては？ただし、チェックするときは、ディスク上のデータだけではなく、ブラウザに表示させた状態(と同じデータ)のソースを検査する必要があります。乱暴な方法ですが、身の覚えのない unescape, base64, eval 等の単語が見つかった場合は、しっかりと見てみた方がよいでしょう。難読化されている場合もあるので、これで確実に発見されるわけではありませんが、このような方法と、コンテンツに対するマルウェア検査の実施をお勧めしたいところです。

ここ最近、このようなパスワードを盗む Password Steraler が増加を続けているため、まずは基本の対策をしっかりと実施してほしいですね。

ISP視点のセキュリティ

JSECTEAM — Tue, 10 Feb 2009 12:43:00 GMT

小野寺です。

前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。
http://www.iij.ad.jp/development/iir/

MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。
また、フォーカスリサーチで、DNSのキャッシュポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。

そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

Microsoft Updateと再起動とネットワーク

JSECTEAM — Tue, 07 Oct 2008 09:38:00 GMT

小野寺です。

株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。
http://www.iij.ad.jp/development/iir/

ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。
それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗？)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。

その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。

IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

DNSの脆弱性関係の新規アドバイザリ

JSECTEAM — Fri, 25 Jul 2008 22:05:00 GMT

小野寺です。

「DNSの脆弱性とか、自動更新を止めるワームとか」でも書きましたが、DNSの脆弱性の詳細が公開されたことで対応を急ぐ必要が出ています。
それに伴って、その事を伝えるための、セキュリティアドバイザリ 956187 を公開しました。

また、MS08-037 を更新して、3つの既知の問題情報を追加しました。詳細は、サポート技術情報 953230 を見てもらいたいのですが、簡単に紹介しておきます。

ポートの競合問題
追加のサービスを実行している DNS サーバーで、ソケットプールに割り当てるポート領域に静的な UDP ポートが必要な場合、ポートの競合が起こり、サービスが停止する可能性がある。
SBS 環境に、この更新プログラムをインストールすると、どのような問題が起こる可能性がありますか?
Windows Small Business Server (SBS) 2003 で、SBS のシステムがサービスを停止する、または正しく動作しない可能性がある。詳細は、サポート技術情報 956189 。
境界ファイアウォールおよび境界の NAT デバイスに関する現象
NATデバイスによっては、DNS クエリが、ソースポートをランダムに使用しなくなる可能性がある。

DNSの脆弱性とか、自動更新を止めるワームとか

JSECTEAM — Fri, 25 Jul 2008 10:23:00 GMT

小野寺です。

DNS の脆弱性について
さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・

ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。その後は、アッと言う間に情報が拡散しています。自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。

今日はまず、自分自身の環境を再度、見直して欲しい！
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。

Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント社から提供されている更新を適用する必要があります。

また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。

Microsoft Updateを妨害するワーム
この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。最近だと Vundo ファミリー辺りが多い様です。通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。

自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft Updateのサイトで、エラー 1058 やエラー 0x8DDD0018 が表示される事が多い様です。

以下に、設定を既定の推奨設定に戻すコマンドとレジストリファイルを手順と共にをサンプルとして載せておきます。

1. OneCare Live PC Safety でウイルス検査
駆除できないものがある場合は、セキュリティ情報センターに相談
感染していたワームが駆除てきた場合は、2 へ

2. 自動更新の設定の回復
以下の内容をメモ帳等に張り付けて、"au.reg"等のファイル名で、デスクトップに保存し、au.regをダブルクリックする。

~~Windows Registry Editor Version 5.00~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003

3. 自動更新の実行
以下の内容をメモ帳等に張り付けて、"au.cmd"等のファイル名で、デスクトップに保存し、au.cmdをダブルクリックする。Windows Vista の場合は、"sc config BITS start= demand" を "sc config BITS start= delayed-auto”に変更しておくと、完全に既定の設定です。

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions /t REG_DWORD /d 4 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d 4 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallTime /t REG_DWORD /d 3 /f

sc config BITS start= demand
sc config wuauserv start= auto
sc start wuauserv

4. ウイルス対策ソフトが未導入なら導入する
Microsoftからは、Windows Defender (スパイウェア対策、無償) や、OneCare (総合セキュリティ対策ソフト) を提供しています。
また、各 ISP から、色々なセキュリティサービスを提供していますので、自分の加入しているISPのサイトをみてみると良いでしょう

2008/07/29: 対応方法を変更