• 2008年3月のセキュリティリリース (Office 以外も注意)

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です

    今月は、事前通知でお伝えしていたとおり 計 4 件 (緊急4件)を公開しました。

    今月は、セキュリティ アドバイザリ 947563 でお知らせしていた Excel の脆弱性に対処しました。MS08-014 で対応していう脆弱性のうち CVE-2008-0081 (マクロ検証の脆弱性) がそれに該当します。 悪用は、いわゆるターゲットアタック (スピア型攻撃)であるため、広範には及んでいませんが、先日の「北京オリンピック」で興味をひくようなものもあるので、注意するとともに早期の更新の展開をお勧めします。 ちなみに、OneCare/Forefront ではCVE-2008-0081 を悪用しようとする Excel ファイルは、Exploit:Win32/Exrec.A として検出可能です。

    MS08-017 は、影響を受ける製品と展開にいささか注意が必要です。今月は、Office 製品のみが影響を受けるという印象がありますが、MS08-017については、Office Web Component (OWC) を更新しており、このコンポーネントは、いくつかの"Office以外の製品"にも含まれています。また、Office 2000向けの更新のみ公開作業を引き続き行っております。
    影響を受ける OWC を含む製品は以下となります。

    開発環境 (クライアント)
    Visual Studio .NET 2002 Service Pack 1
    Visual Studio .NET 2003 Service Pack 1

    サーバー環境
    Microsoft BizTalk Server 2000
    Microsoft BizTalk Server 2002
    Microsoft Commerce Server 2000
    Internet Security and Acceleration Server 2000 Service Pack 2

     また、MS08-016は、Office 2003 SP3 は影響を受けないのですが、Microsoft Update によって、Office 2003 SP3 環境にも更新プログラムが展開されます。 これは、セキュリティ更新に含まれているモジュールが、Office 2003 SP3 のモジュール バージョンよりも新しいためです。手動や他の更新システムで配信する場合は、Office 2003 SP3に対してして配信する必要はありません。

    今月のセキュリティ情報のストリーミング配信を午後を予定しています。
    http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

  • Windows XP SP3でMS06-069が復活?

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    ”Windows XP SP3でMS06-069で復活 (ロールバック)”という話が、幾つか舞い込んできて、耳にしたときは一瞬背筋が寒くなりました・・・
    確認してみると、色々と誤解があったみたいで、先日の SANS Institute のblogに端を発しているようでが、さらに元を辿ると、MS06-069をWindows XP SP3 に関連して更新したことにあるといえばあります。

    5月の定期リリースの時に MS06-069 (Adobe Flash Playerの脆弱性) のセキュリティ情報を更新してたのですが、更新理由は、Windows XP SP3の公開に伴って、MS06-069の「影響を受ける製品」の一覧を更新し、Microsoft UpdateでWindows XP SP3上でも MS06-069が正しく検出できるように変更しました。

    SANSの記事は、微妙な書き方ですが、誤解はないのですが、回り回って、「Windows XP SP3 を適用すると昔の MS06-069 が復活する」という話になってしまったみたいですね。

    正しくは、Windows XP SP3のパッケージには、MS06-069の更新プログラムに相当するものを含まないため、Windows XP SP3 をPCに新規にインストールした場合等に、他の更新とと一緒に MS06-069 の適用が必要ということです。

    Windows XP SP2 で今までセキュリティ更新を適用してきた環境では、Windwos XP SP3を適用しても、MS06-069を再適用する必要ありません。 ちなみに、Windows に含まれているのは、 Flash Version 6 ですが、最新の Flash をインストールしている環境に Windows XP SP3 をインストールしても、Flash 6 に戻るようなことはありません。
    どうしても心配な人は、 %systemroot%\system32\Macromed\Flash にある Flash6.ocx のバージョンが 6.0.88.0 以上でああることを確認してください。

     

  • Internet Explorerの脆弱性に関するアドバイザリ & SQL インジェクション

    Posted over 6 years ago
    by JSECTEAM}

    小野寺です。

    昨日、Internet Explorerに関するセキュリティ アドバイザリ 961051を公開しました。
    Webサイトを見る事で、脆弱性が悪用される可能性があり、現在サポートされている Internet Explorerが影響を受けます。
    しかしながら、Windows Vista のInternet Explorer 7 や Internet Explorer 8 (Beta) は、保護モードにより脆弱性が悪用された場合でも、システムへ侵入される可能性を抑える事ができます。
    また、Windows XP および Windows Vista については、データ実行防止 (DEP) が機能として有りますが、互換性の為に既定では無効となっています。Internet Explorer 8 (Beta) を導入している環境では、既定で有効です。

    現在、更新プログラムの提供を含めて検討・作業を進めており、新たな対策等は、Webサイトおよび、セキュリティ警告サービスでお伝えしていきます。
    現時点で、リスクを回避する方法としては、アドバイザリ記載の幾つかの回避策の内で、影響の少ないものを選択して適用する事を推奨します。 回避策を取れない場合や、個人の利用者の方は、最低限のセキュリティ対策は実施していただきたいと考えています。

    直接的に関連するわけではありませんが、Webサイトを悪用した攻撃では、SQL インジェクションも並行して行われる事が多く、個々のWebサイトが、本脆弱性を悪用するプラットフォームにならない様に、改めてSQL インジェクションへの対応をお願いしたいところです。SQL インジェクション自体は、Webサイトやそのバックエンド データベースの情報を抜き取る手段にも使われており、今回の件に関係なくWebサイトにとっては必要な対策となっています。

    Webサイトが、SQL インジェクションで攻撃を受け、結果としてそのサイトの利用者に被害が及ばないように��るための情報として以下を公開しています。

    SQL インジェクション攻撃とその対策
    http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx

    参考資料

     

  • 2009年4月のセキュリティ情報

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です

    2009年4月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 8 件 (緊急 5 件、重要 2 件, 警告 1 件)となります。
    また、合わせて、セキュリティ アドバイザリを 4 件更新しています。

    セキュリティ情報 (新規):
    概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。
    http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx

    毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。
    http://technet.microsoft.com/ja-jp/dd251169.aspx

    MS09-009 (Excel):
    特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。
    セキュリティ アドバイザリ (968272) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。


    MS09-010 (Wordpad):
    特別な細工が施されたいくつかの文書形式のファイルを開くことで、リモートでコードが実行される可能性があります。
    セキュリティ アドバイザリ (960906) で、お知らせしていた脆弱性に対応したものとなります。いわゆる標的型攻撃ではありますが、悪用も確認されておりますので、速やかに適用することをお勧めします。


    MS09-011 (DirectShow):
    特別な細工が施された MJPEG(MPEGではなく)形式の動画を開くことで、リモートでコードが実行される可能性があります。
    現時点で、脆弱性の詳細、悪用コードは公開されておらず、悪用コードも不安定なものになりやすいと予測しています。

    MS09-012 (MSDTC):
    WindowsのコンポーネントであるMSDTC, WMI, RPCSS, ThreadPoolに対して特別な処理要求を行うことで、特権の昇格が発生する可能性があります。
    セキュリティ アドバイザリ (951306) で、お知らせしていた脆弱性に対応したものとなります。この脆弱性を悪用するには、攻撃対象のコンピューター上で、任意のプログラムを実行できる必要があり、通常であれば、システムへのログオン権限が必要です。Webサーバー等の場合は、一般に脆弱性のWebアプリケーションが動作しているなどの理由で、攻撃者が自由にサーバーにファイルをアップロードでき、アップロードしたファイルを任意に実行できるような場合もこの脆弱性が悪用可能です。悪用も確認されておりますので、適用することをお勧めします。

    MS09-013 (WinHTTP):
    WinHTTP使用して、悪意のあるHTTPサーバーと通信する場合に、リモートでコードが実行される可能性および、なりすましが可能となる可能性があります。
    今回対応している3つの脆弱性のうち、CVE-2009-0550は、WinHTTP以外にWinINetと呼ばれるInternet Explorerの一部にも同じ脆弱性があるため、MS09-014(IE)で対応しています。

    MS09-014 (IE):
    基本的に、Webサイトを参照することで、リモートでコードが実行される可能性があります。
    セキュリティ アドバイザリ (953818) で、お知らせしていた脆弱性関連した対応もCVE-2008-2540として行っています。この対応については、現状では実質的な攻撃経路がなく、多層防御の一環で将来を見越して動作を変更していますが、今までと動作使用を変更することになるため、特定のレジストリキーを設定することで初めて有効となります。詳しくは、セキュリティ情報に記載しています。

    MS09-015 (SearchPath):
    セキュリティ アドバイザリ (953818) でお知らせしていたApple 製 Safariの脆弱なバージョンを利用している場合に、リモートでコードが実行される可能性があります。
    脆弱なバージョンのSafariと同様の動作をするアプリケーションがあり、特別な細工を施したデータとプログラムを特定のフォルダに置くことで、攻撃が可能性となります。多層防御の一環として、SetSearchPathMode というAPIを追加して、今後アプリケーションを開発するにあたり、意図しないファイル探査を抑制できるようにしています。

    MS09-016 (ISA):
    Webプロキシの機能部分が、不正なパケットを受信することでサービス拒否が発生する可能性があります。

    悪意のあるソフトウェアの削除ツール (MSRT):
    今月は、Waledac に対応しています。

     

  • Conficker(Downadup)ワームに関するまとめ

    Posted over 5 years ago
    by JSECTEAM}

    小野寺です。

    日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。
    追記(2009/2/27 Conficker.C の情報を、公開しました)

    Conficker ワームに関するまとめ

    マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。

    まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。

    最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。
    最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。

    ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、"in the wild"の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 のセキュリティ更新プログラムにより解決された脆弱性を悪用することによってのみ蔓延します。 この変種はウクライナ語版のキーボードの配列を使用するコンピューターは感染しないため、マルウェアの開発者はウクライナに本拠地を置くのではないかと疑われていました。 Worm:Win32/Conficker.B (英語情報) が 2 番目の変種で、これは 2008 年12月29日に報告されました。この変種は複数の蔓延方法を使用します。

    1. MS08-067 を悪用することにより、ネットワークのその他のコンピューターに感染しようとします。 この方法はWindows コンピューターにすべてのセキュリティ更新プログラムが完全に適用されていない環境で、ワームに感染の足がかりを与えます。
    2. ワーム自体を標的となるコンピューターの ADMIN$ 共有 (既定で Windows フォルダーです) に(ワーム自体を)コピーしようとします。 まず、現在ログオンしているユーザーの資格情報を悪用しようとします。この方法は同じユーザー アカウントがネットワークの異なるコンピューターで使用されており、そのアカウントが管理者権限を持っている環境で、特に有効に機能する可能性があります。 これが失敗した場合、異なる方法を試します。標的となるコンピューターのユーザー アカウントの一覧を取得し、各ユーザーと、脆弱なパスワードの一覧 (例: 「1234」、「password」または「student」) を組み合わせて接続しようとします。 これらの組み合わせの 1 つが有効で、そのアカウントが書き込みアクセス許可を持つ場合、ワーム自体を ADMIN$ フォルダーにコピーします。
    3. USB ドライブやその他のポータブル ストレージなどのリムーバル メディアに、ワーム自体をコピーします。 INF ファイルを追加し、リムーバブル メディアが使用された場合、自動再生ダイアログで 1 つの追加オプションを表示します。 下のスクリーン ショットで、“Open folder to view files – 発行元は指定されていません” のオプションが、このワームにより追加されたもので、強調表示されたオプション “フォルダを開いてファイルを表示– エクスプローラ使用” が Windows が提供するものです。 ユーザーが最初のオプションを選択した場合、ワームが実行されます。

    さらに、Conficker はいくつかの構成変更を行うため、Windows を起動した際には常に実行します。
    特に、サービスとしてそれ自身を追加し、HKCU\Software\Microsoft\Windows\CurrentVersion\Run の下にレジストリ値を追加します。
    また、さまざまなサービスを終了させ、再起動させようとします。詳細情報は こちら (英語情報) をご覧ください。同様に、Worm:Win32/Conficker.B は、ウイルス対策プログラムまたは他のセキュリティ ソフトウェアと思われる名称が含まれているプロセスのすべてを終了させようとします。
    さらに、ウイルス対策およびセキュリティ ベンダー企業の多くの Web サイト、そして Windows Update のサイトへのアクセスを禁止します。このワームはさらに追加のステップを実行します。マイクロソフトの encyclopedia (英語情報) で詳細をご覧ください。
    これらの蔓延方法を考慮した場合、本ワームに感染するリスクを最小限に抑えるために、お客様に複数の措置を講じていただく必要があります。

    • お客様の環境の Windows のコンピューターすべてに MS08-067 を完全にインストールしてください。各エンタープライズで適用を 100% 完全にするのは非常に困難であると思われるため、次の多層防御のステップも、リスクを軽減するのに役立ちます。
    • Conficker の検出を確実に行うウイルス対策製品を使用してください。該当のウイルス対策プログラムはワームがそれ自身を他のマシンにコピーするのを防ぐ機能があります。例えば、Microsoft Forefront Client Security および Windows Live OneCare は検出されたまさに当日からこのワームを検出し、禁止します。
    • お客様の環境の、すべてのユーザー アカウントおよび共有ファイルの両方に堅牢なパスワードを使用してください。
    • 自動再生のオプションについて、お客様に最良の選択をしてください。無効にすることを選択するお客様もいらっしゃいます。

    本脅威にネットワークが感染した場合、上記のステップを行い、環境を強化してください。その後、サポート技術情報 KB 962007 の MSRT により、ステップ バイ ステップの手順で駆除してください。

    役立つリンク: