本日、セキュリティ アドバイザリ 2491888 を公開し、Microsoft Malware Protection Engine の更新プログラム (バージョン 1.1.6603.0 以上) が、非公開で報告された脆弱性を解決することをお知らせしました。この更新プログラムにより、有効なログオン情報を持つ攻撃者が特別に細工したレジストリキーを作成した後に Microsoft Malware Protection Engine がシステムをスキャンした場合、特権が昇格する可能性があるという脆弱性を解決します。

この更新プログラムは、通常、企業ネットワーク管理者の方やエンドユーザーの方が手動でインストールする必要はありません。なぜなら Microsoft Malware Protection Engine は、Windows や Office などのシステム・アプリケーション製品とは異なり、マイクロソフトのさまざまなマルウェア対策製品の一部として、「更新されたマルウェアの定義」とともに、既定の構成では自動的にインストールされるためです。お使いのシステム上の Engine がこの脆弱性に対応しているかどうかを確認するには、Engine のバージョン (バージョン 1.1.6603.0 以上で対応) をご確認ください。

なお、今回の Engine の更新は脆弱性に対応するものですが、個別のセキュリティ更新プログラムとしてではなく、頻繁に更新している Engine の一環として対応していることから、この情報をアドバイザリとして公開しています。

絶え間なく増加および変化を続ける脅威に対応するために、マイクロソフトでは Microsoft Malware Protection Engine を毎月 1 回、マルウェアの定義を毎日 ３ 回、さらに必要であればその都度更新をしています。マルウェア定義および Microsoft Malware Protection Engine を可能な限り迅速に更新できる環境を準備することで、新たな脅威および蔓延している脅威を効果的に防御することが可能になります。

皆さん、今月のセキュリティ更新プログラムはもうインストールしていただけましたでしょうか？お気づきの方もいるかと思いますが、同じ日の 2 月 9 日に USB メモリの利用を安全にする更新プログラム 971029 を Windows Update や Microsoft Update などの自動更新チャネルを通じて配信を開始しました。また、この配信開始に伴い、セキュリティ アドバイザリ 967940 を併せて更新しています。

この更新プログラム 971029 をインストールすると、プログラムが実行されるよう構成された USB メモリをコンピューターに挿した場合、これまで下記の図 1 のように表示されたダイアログが図 2 のように変化します。

図 1. 971029インストール前のWindows Vista   図 2. 971029インストール後のWindows Vista

これによって、Conficker のような巧みにプログラムの名前とアイコンを偽装し （図3）、ユーザーを騙すような USB 経由で侵入するウイルスの感染の被害を防ぐことができます。

図 3. Conficker に感染した USB メモリを Windows Vista に接続した場合

この更新プログラム 971029 は、既に 2009 年 8 月に Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 を対象としてダウンロードセンターにて公開していました。2 月 9 日からは、この更新プログラムを Windows Update や Microsoft Update などから「オプションの更新プログラム」として配信しています (図 4 の通りチェック ボックスはオフの状態)。インストールされたい方はチェックを入れてインストールを選択してください。

図 4. Windows Vista での Windows Update の表示

なお、以下の点に注意してください。

ü  CD-ROM や DVD については自動再生の機能は無効になりません。

ü  USB で販売しているソフトウェアについては、USB をコンピューターに挿しても自動実行されない可能性があります。

補足:

2009 年 2 月 25 日に公開した更新プログラム 967715 （Windows XP/2003 用）と MS08-038（950582） は、Autorun (自動実行) を無効にするレジストリ キーが正しく動作しなかった問題を解決したものです。

参考情報 (英語情報):

·         MSRC Blog: “Deeper insight into the Security Advisory 967940 update”
http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx

·         MMPC Blog: “Breaking up the Romance between Malware and Autorun”
http://blogs.technet.com/b/mmpc/archive/2011/02/08/breaking-up-the-romance-between-malware-and-autorun.aspx

2011 年 2 月 23 日更新
-------------------------------
2 月 9 日から、この更新プログラム 971029 を Windows Update や Microsoft Update などで「オプションの更新プログラム」として配信していましたが、2 月 23 日より、「重要な更新プログラム」として配信開始しました (図 4 のチェック ボックスがオンの状態)。この変更により、インストールされたい方は、特に操作をする必要なしに更新プログラムがインストールできます。この変更は、より多くのコンピューターをマルウェアから保護する目的です。
-------------------------------

The Official Microsoft Japan Blogに、日本マイクロソフトで技術を統括しているCTO（最高技術責任者）加治佐の記事「果てしなく続くセキュリティへの取り組み」が投稿されています。http://blogs.technet.com/b/microsoft_japan_corporate_blog/archive/2011/02/09/3385925.aspx

技術全体を統括している立場から、セキュリティを専門としない読者の方々に対して、セキュリティの取り組みについて紹介しています。

このブログをご覧になっている方にとっては目新しい内容はないと思いますが、加治佐がブログを書き終えたときに言っていた「セキュリティって難しいんだな！」という思いに共感される方も多いのではないでしょうか。これはセキュリティに関わる多くの人達が感じることだと思います。自分の中では確立した概念であっても、それをわかりやすく伝えていくというのは、とても難しい作業であるということを日々感じています。

The Official Microsoft Japan Blogでは、加治佐のほかにも日本マイクロソフトの経営陣が執筆しています。それぞれの立場での興味や捉え方の違いを感じられるブログです。よろしければ一度ご覧になってください。

The Official Microsoft Japan Blog

http://blogs.technet.com/b/microsoft_japan_corporate_blog/

皆さん、こんにちは！ワンポイントセキュリティ担当者です。
先ほど 2 月のワンポイント セキュリティ情報を公開しました。

本日 2 月 9 日に公開した新規 12 件 (緊急 3 件、重要 9 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしていますので、セキュリティ更新プログラム適用の際の全体把握のために是非ご視聴ください。

また、フィードバックも随時受け付けています。ぜひ「今月のマイクロソフト ワンポイント セキュリティ情報」サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。

フルサイズ版、podcast 用は以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx

下の画像をクリックして動画を再生してください。

Format: wmv
Duration:

MS11-004 に関する技術的な説明が、Security Research & Defense のブログで公開されました。

以下に日本語訳を掲載いたします。

--- Regarding MS11-004, Addressing an IIS FTP Services Vulnerability の日本語抄訳 ---

本日、マイクロソフトは IIS サーバーの Microsoft FTP サービスに存在する脆弱性を解決する MS11-004 を公開しました。このブログではこの脆弱性の技術的な詳細について触れたいと思います。

まず、IIS の FTP サービス コンポーネントに脆弱性が存在することを明確にしたいと思います。FTP サービスは IIS のオプションのコンポーネントで、既定ではインストールされません。

FTP サービスのバージョンと IIS のバージョンとの違いは少々混乱を招く部分になります。たとえば、Windows Vista および Windows Server 2008 上の IIS 7 に同梱されている FTP サービスのバージョンは FTP 7.0 ではなく、FTP 6.0 です。しかし、マイクロソフト ダウンロードセンターからオプションのコンポーネントとして FTP 7.0/7.5 を IIS にインストールすることもできます。 実行している FTP のバージョンや使用中のコンピューターが影響を受けるかどうかが定かでない場合、この手順を使用して更新プログラムがコンピューターに必要であるかを確認してください。

·           FTP サービスが有効でない場合、そのコンピューターは影響を受けません。

·           FTP サービスが有効である場合、

o    Windows Server 2003 上の IIS6: 影響を受けません。

o    Windows Vista および Windows Server 2008 上の IIS7: 既定で、 IIS 7 は FTP 6.0 を使用しており、この脆弱性の影響を受けません。しかし、マイクロソフト ダウンロード センターから IIS 7 用の FTP 7.0/7.5 パッケージを手動でインストールしている場合、この脆弱性の影響を受けます。

o    Windows 7 および Windows Server 2008 R2 上の IIS 7.5: IIS 7.5 に同梱されている FTP 7.5 はこの脆弱性の影響を受けます。

このプロセスを自動化する方法もあります。FTP 6.0 は FTP 7.0/7.5 とは異なるサービス名で実行されています。このため、FTP 7.0/7.5 のサービス名である "ftpsvc" が実行されているかどうかをチェックするとよいでしょう。過去の SRD ブログ Assessing an IIS FTP 7.5 Unauthenticated Denial of Service Vulnerability (英語情報) で、既にこのアプローチについてお話していますが、ここにもう一度記載します。

(管理者として実行している) コマンド プロンプト上において IIS FTP サービスをクエリすることにより、その IIS FTP サービスの状態を確認することができます。

·           Windows + R キーを押します

·           "cmd.exe" (引用符は必要ありません) と入力します

·           コマンドプロンプトで "sc query ftpsvc" (引用符は必要ありません) と入力します

サービスがインストールされていない場合、次のように表示されます。

サービスがインストールされており、実行されている場合、次のように表示されます。

別のアプローチとして、コンピューターがこの脆弱性の影響を受けるかどうかを確認するために、ファイル システムをスキャンすることもできます。'ftpsvc.dll' が %system32%\inetsrv ディレクトリに存在していない場合、そのコンピューターはこの脆弱性の影響は受けません。'ftpsvc2.dll' というファイル名が確認された場合、そのコンピューターには FTP 6.0 がインストールされており、この場合もまた、この脆弱性の影響は受けません。 Windows Update、Microsoft Update および WSUS の検出ロジックは上記のシナリオで処理するため、この更新プログラムは FTP 7.0 または FTP 7.5 をインストールしている IIS 7 コンピューターにのみ提供されます。

最後に、この問題が悪用される可能性について説明したいと思います。2010 年 12 月、こちらのブログ (英語情報) にこの問題を投稿し、リモートでコードが実行される可能性は低いと考えている理由の概要を説明しました。「これらの特徴により、ヒープスプレイもしくは一部の関数ポインターを上書きする攻撃を実行することは困難です。オーバーランの性質上、結果として可能性のある影響は、サービス拒否のみであり、コードが実行されることはありません。」と述べました。

それ以降のさらなる調査により、DEP および ASLR 保護が突破された場合、この脆弱性が悪用される可能性があることが分かりました。現在までに悪用は一般で確認されておらず、また、悪用コードは一般に利用可能となってはいません。現在の状況を要約すると、コードが実行される可能性はありますが、大部分のお客様に及ぶ可能性のある影響は、サービス拒否となります。

謝辞:

この問題について協力して下さった IIS チームの Nazim Lala、日本の CSS セキュリティ レスポンス チームおよび MSRC エンジニアリング チームの Brian Cavenah に謝意を表します。

Chengyun MSRC エンジニアリング、Chengyun Chu および Mark Wodrich