• [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2

    Posted 2 months ago
    by JSECTEAM}

    本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせしているSSL 3.0プロトコルに存在している脆弱性 (通称 POODLE) について、以下を追加でお知らせしました。

    (1) SSL 3.0 を、Internet Explorer にて既定の構成で無効にし、オンラインサービス上で無効にする措置を、数か月の間に実施する予定です。

    2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要がります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください。

    (2) セキュリティアドバイザリ 3009008 に記載のある回避策について、クライアントでの回避策とサーバーでの回避策を分かりやすくするよう記載変更しました。

    (3) Internet Explorer での回避策 (SSL 3.0無効化) を実施するための Fix It ツールを公開しました。

     

    脆弱性の詳細、および影響範囲については、先日のブログ「セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開」をご参照ください。

    今回は、回避策について改めて、まとめてご案内します。

     

    ■対象となるソフトウェア・環境

    脆弱性の影響を受ける環境は、以下の環境です。

      • サポートされるすべてのバージョンの Windows

    ※暗号スイートとして、CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

     

    ■回避策

    SSL 通信を行うクライアントとサーバーのいずれか、または両方で、SSL 3.0 を利用しないように無効化します。

     

    クライアント側

    注: この回避策を適用した後、クライアントは、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。 

     

    (方法 1) Internet Explorer のみで SSL 3.0 を無効化する

    Internet Explorer 上で行う SSL 通信について、SSL 3.0 を無効化することができます。この方法を利用した場合は、Windows およびそのほかのアプリケーション・ソフトウェアで行っている SSL 通信においては、SSL 3.0 は無効化されません。脆弱性は SSL 3.0 プロトコル自体にあるため、Windows およびそのほかのアプリケーション・ソフトウェアで SSL 3.0 を利用している場合は、引き続き脆弱性の影響を受けます。

    SSL 3.0 をまずは Internet Explorer 上のみで無効化を実施したい、という場合にはこちらの方法を実施してください。Internet Explorer 上で SSL 3.0 を無効にするためには、以下のいずれかの方法で実施できます。

    (1) Fix it ツールを利用する

    サポート技術情報 3009008 に記載されている Fix It ツールを実行してください。

    (2) 手動で設定を変更する

    Internet Explorer の [ツール] メニューの [インターネット オプション]のダイアログ ボックスの [詳細設定] タブにある [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。

    詳細な設定方法等は、セキュリティ アドバイザリ 3009008IEサポートチームブログを参照してください。

    (3) グループポリシーを利用して設定変更を行う

    グループ ポリシーで [暗号化サポートを無効にする] グループ ポリシー オブジェクトを変更します。詳細な設定方法等は、セキュリティ アドバイザリ 3009008を参照してください。


    セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われました。なお、この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。 

     

    (方法 2) Windows 上で SSL 3.0 を無効化する

    Internet Explorer を含む Windows および Windows 上で動作するすべてのアプリケーションおよびソフトウェアにて行われる SSL 通信で、SSL 3.0 を無効にします。(*補足 1)

    設定を行うには、以下のレジストリを設定します。詳細な設定方法等は、セキュリティ アドバイザリ 3009008を参照してください。

    キー:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client\Enabled

    値: 0 (無効)

    タイプ: DWORD (32 ビット)

     

    (補足 1) 設定変更の影響を受けるソフトウェア・アプリケーションは、Windows 上の SSL/TLS の実装である Schannel を用いている場合に限ります。詳細は、「TLS/SSL (Schannel SSP) の概要」を参照してください。

     

    サーバー側

    注: この回避策を適用した後、サーバーは、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしないクライアントからの接続はできなくなります。

     

    Windows Serverを利用している場合

    キー:HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server\Enabled

    値: 00000000 (無効)

    タイプ: DWORD

    詳細な設定方法は、セキュリティ アドバイザリ 3009008および、サポート技術情報 187498 を参照してください。

     

    Azure を利用している場合

    Microsoft Azure を利用している場合は、以下のガイダンスに従って設定を行ってください。

     

     

    ■ 関連ブログ エントリ

     

    更新履歴

    2014/12/10 10:30 セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを回避策に追記しました。

  • セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開

    Posted 2 months ago
    by JSECTEAM}

    2014/11/12 に本脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-064 として公開しました。

    本日、マイクロソフト セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」を公開しました。このアドバイザリでは、すべてのサポートされるバージョンの Windows において確認された OLE オブジェクトの処理に存在する脆弱性の説明、および回避策の情報を提供しています。

    ※ 日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

    現在マイクロソフトでは、脆弱性を悪用する悪意のある Microsoft PowerPoint ファイルを利用した限定的な標的型攻撃を確認しています。

    脆弱性の詳細の確認および調査が完了次第、マイクロソフトでは適切な措置を実施する予定です。これには、月例あるいは定例外セキュリティ更新プログラムの公開などを含みます。それまでの間、お客様は、アドバイザリに記載されているガイダンスに従い、回避策を適用することを検討してください。

     

     

    ■影響を受ける環境

    ​ Windows Server 2003 を除く、サポートされるすべてのバージョンの Windows

     

    ■発生する可能性のある影響

    悪意のあるユーザーは、以下のような方法で、ユーザーを攻撃する可能性があります。

    • 電子メールの添付ファイルなどで、脆弱性を悪用するように細工された Microsoft Office ファイル (PowerPoint ファイル) などをユーザーに送付します。

    • 悪意のあるウェブサイトを閲覧するよう、フィッシング メールなどで誘導します。ウェブサイトに、細工された Microsoft Office ファイル (PowerPoint ファイル) などを配置し、ユーザーに開かせるよう誘導します。

     もし、細工された Microsoft Office ファイル (PowerPoint ファイル) などを開いた場合、リモートでコードが実行される可能性があります。リモートでコードが実行された場合、悪意のあるユーザーが遠隔地からあなたのコンピューターを乗っ取り、さまざまな操作を行う可能性があります。

    詳細は、「絵でみるセキュリティ: リモートでコードが実行される」をご覧ください。

     

    注意: 細工されたファイルを開かない場合は、攻撃を受けません。

    補足:OLE オブジェクトを含むファイルは、同様の影響を受ける可能性があります。Microsoft Office ファイル (PowerPoint ファイル) などの他に、サードパーティ ソフトウェアで OLE ファイルを含む場合があります。

      

    ■回避策

    FIX IT ソリューションを適用することで、現在確認されている攻撃手法を回避することができます。

    1. サポート技術情報 3010060 にアクセスします。
    2. [有効にする] (Enable) に記載されている Fix It をクリックします (Microsoft Fix it  51026)
    3. ウィザードに従い実行します。(Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します)

     

    注意事項

      • Fix It は、64 ビット バージョンの Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2 上で利用している 64 ビット バージョンの PowerPoint に対しては利用できません。その他の回避策の実施を検討してください。Fix It を利用可能な環境の詳細は、サポート技術情報 3010060 を参照してください。
      • Fix It のウィザードは英語版のみとなりますが、英語版以外の Windows でも機能します。
      • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

    補足事項

      • Fix It ソリューションを無効にするには、サポート技術情報 3010060 にアクセスし、「無効にする」 (Disable) の Fix It (Fix It 51027) を実行します。

     

    ■[IT Pro 向け ] その他の回避策

    Fix It ソリューションの他に、以下のいずれかの方法にて、現在確認されている攻撃を回避することができます。詳細は、セキュリティ アドバイザリを参照してください。

     

    (1) UAC を有効にする

    ユーザー アカウント制御 (UAC) は既定で有効です。UAC が有効な場合は、悪意のあるファイルを開いた際に、UAC 警告が表示されます。UAC 警告をクリックしない限り攻撃を受けません。UAC を無効にしている場合は、セキュリティ アドバイザリ、あるいは、「ビデオ: ユーザー アカウント制御をオンまたはオフにする」を参考にして、UAC を有効にしてください。

     

    (2) EMET を利用し、緩和策を有効にする

    脆弱性緩和ツールEnhanced Mitigation Experience Toolkit (EMET) 5.0 を利用することで、現在確認されている攻撃から保護することが可能です。手順の詳細は、セキュリティ アドバイザリを参照してください。

     

    EMETについては、以下のブログも参考にしてください。

    Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 1 回 EMET とは

    Enhanced Mitigation Experience Toolkit (EMET) 基本解説~第 2 回 EMET 10 の疑問

    EMET 5.0 公開しました

     

    (3) 信頼できないソースから入手したファイルを開かない

    細工されたファイルを開かない限り、攻撃を受けません。信頼できない場所から入手したファイルは開かないように注意してください。

    更新履歴
    2014/10/22 13:20 : セキュリティ アドバイザリ 3010060 の日本語ページを公開しました。
    2014/11/12 09:40 : 本脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-064 として公開したことを追記しました。

  • セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開

    Posted 2 months ago
    by JSECTEAM}

    本日、月例セキュリティ情報と併せて公開したセキュリティ アドバイザリ 2949927、および、2977292 に加え、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開しました。
    ※日本語訳は現在準備中です。公開次第、こちらのページでお知らせします。上記リンクをクリックすると、英語ページにリダイレクトされます。

    SSL 3.0 (CBCモード) を利用している場合、プロトコルに存在している脆弱性が悪用され、暗号化されている通信の内容が漏えいする可能性があります。この SSL 3.0 の脆弱性は、SSL 3.0 プロトコル自体に存在している業界全体で取り組むべき脆弱性であり、特定の製品の実装上の脆弱性ではありません。

    マイクロソフトでは、現在、調査を行っており、調査が完了次第、マイクロソフトはお客様を保護するための適切な措置を講じる予定です。なお、この脆��性を悪用するための新しい手法は、お客様にとって大きなリスクではないと考えられています。また、現時点では、悪用は確認されていません
    詳細は、セキュリティ アドバイザリ 3009008 を参照してください。

     

    ■影響を受けるソフトウェア・環境

    • サポートされるすべてのバージョンの Windows

    ※CBC モードを利用する SSL 3.0 を利用している場合のみ影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

     

    ■ 回避方法
    SSL 3.0 を無効にし、TLS 1.0、TLS 1.1、および、TLS 1.2 を有効にしてください。

    クライアント側: グループ ポリシー、あるいは、個別にSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

    詳細な設定方法等は、セキュリティ アドバイザリ 3009008IEサポートチームブログを参照してください。

    セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われました。なお、この機能追加は、MS14-080 のセキュリティ更新プログラムに含まれていますが、既定の設定では、この機能は無効に設定されています。この機能の詳細は、サポート技術情報 3013210 を参照してください。

    サーバー側:レジストリにてSSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする。

    詳細な設定方法は、サポート技術情報 187498 を参照してください。

    ■ 緩和策
    脆弱性を悪用するためには、以下の要素が必要となります。この要素を回避するよう構成することで攻撃を緩和することができます。

    • 攻撃者は何百もの HTTPS リクエストを被害者へ送信し、攻撃を成功させる必要があります。
    • SSL 3.0 (CBC モード) を利用している場合に影響を受けます。TLS 1.0、TLS 1.1、TLS 1.2、および、CBC モードを利用しない暗号スイートは影響を受けません。

    ■ 参考情報

    ----------------------------------

    更新履歴

    10 月 15 日 15:25 セキュリティ アドバイザリ 3009008 の日本語ページを公開しました。

    10 月 16 日 15:30 回避策を追記しました。

    10 月 20 日 15:00 IE サポートチームブログを参考情報として追記しました。

    10 月 22 日 15:25 Microsoft Azure ブログを参考情報として追記しました。

    10 月 30 日 17:50 「[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2」を参考情報として追記しました。
    12 月 10 日 10:30 セキュリティ アドバイザリ 3009008 で説明される脆弱性の対処の一環として、Internet Explorer 11 で SSL 3.0 へのフォール バックが発生した際に、警告が表示されるよう機能追加が行われたことを回避方法に追記しました。

  • [IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 (その 2): 11 月に拡張します

    Posted 2 months ago
    by JSECTEAM}

    以前、こちらのブログでもお伝えしたように、8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS 14-051 (KB2976627) Internet Explorer 用の累積的なセキュリティ更新プログラムにて、古いバージョンの ActiveX コントロールの利用をブロックするセキュリティ強化の機能変更を公開し、2014 年 9 月 10 日 (日本時間) より、古いバージョンの Java のブロックを開始しています。 

    10 月 14 日 (米国時間) に、このセキュリティ機能の対象および機能を 11 月に拡張することを、IE Blog (英語情報) にてお知らせしました。本ブログで、その内容をお伝えします。

     

    ■拡張を行う内容

    11 月 11 日に、以下の 2 点の拡張を実施します。 

    1. 古いバージョンの ActiveX コントロールの利用をブロックする機能を Windows Vista SP2 および Windows Server 2008 SP2 上の Internet Explorer 9 に提供を開始します。

    これまでは、Windows 7 Service Pack 1 以降のクライアント OS + Internet Explorer 8 以降、および、Windows Server 2008 R2 以降のサーバー OS + Internet Explorer 8 以降のみに提供されていました。Internet Explorer の新しいサポート ポリシーを考慮し、11 月 11 日に、Windows Vista SP2 および Windows Server 2008 SP2 上の Internet Explorer 9 でも利用可能とするための更新プログラムを提供する予定です。

    2. 古いバージョンの Silverlight のブロックを開始します。

    11 月 11 日より、古いバージョンの Java ActiveX コントロールに加え、古いバージョンの Silverlight についても、ブロックが行われます。Silverlight 5. 1.30514.0 よりも古い (このバージョンは含みません) Silverlight ActiveX コントロールをブロックします。

     

    ※補足: ブロックを行う動作や対象となるセキュリティ ゾーン、表示される通知などは、これまでと変更はありません。動作概要については、こちらのブログを参考にしてください。

      

    ■機能テストを行う方法

    2014 年 11 月 11 日 (米国時間) 以前に、この機能がどのように作動するか理解するためにテストし影響があるかどうか確認をお勧めしています。

    新機能のテスト方法は、サポート技術情報をご参照ください。

     

    テスト手順

    注意: テストが終了したら、該当のレジストリ キーを削除してください。もし削除しない場合は、VersionList.xml の更新を行わないため、ブロック対象となる古い ActiveX コントロールのリストが更新されません。運用環境ではなく、検証環境でのテストをお勧めしています。

    1. テストを実施する端末にて、最新の Internet Explorer の累積更新を適用します。

    2. コマンド プロンプトを開き、以下のコマンドを実行し、Versionlist.xml を更新しないように構成します。

    reg add "HKCU\Software\Microsoft\Internet Explorer\VersionManager" /v DownloadVersionList /t REG_DWORD /d 0 /f

    3. テスト用の Versionlist (versionlist-TEST.xml) をこちらからダウンロードします。

    4. ダウンロードしたテスト用の Versionlist (versionlist-TEST.xml) を、端末の以下の箇所にコピーします。

     %LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\                                                                                      

    5. テスト用の Versionlist (versionlist-TEST.xml) を、versionlist.xml にリネームします。(既存のファイルに上書きします)

    6. Internet Explorer を再起動します。

    7. 検証を行う対象の ActiveX コントロールを配置しているウェブ サイトを閲覧し、通知が行われないか確認します。ブロックの通知は以下のような表示です。

     

    ■関連リソース

    Internet Explorer begins blocking out-of-date ActiveX controls (英語情報)

    Out-of-date ActiveX control blocking (英語情報)

    Internet Explorer の最新の ActiveX コントロールをブロックするには、更新プログラム

    List of out-of-date ActiveX Controls blocked by this feature (英語情報)

    Administrative Templates for Internet Explorer (英語情報)

    最新の ActiveX コントロールが Internet Explorer でブロックの他の管理機能の設定

    October 2014 updates and a preview of changes to out-of-date ActiveX control blocking (英語情報)

  • 2014 年 10 月のセキュリティ更新プログラムのリスク評価

    Posted 2 months ago
    by JSECTEAM}

    本記事は、Security Research & Defense のブログ “Assessing risk for the October 2014 security updates” (2014 年 10 月 15 日公開) を翻訳した記事です。

    本日、24 件の個別の CVE を解決する 8 件のセキュリティ情報をリリースしました。セキュリティ情報の内、3 件は最大深刻度が「緊急」、5 件が「重要」です。お客様の環境に最適な更新プログラムの適用優先順位の決定が行えるよう、以下の表をご活用ください。

     

    セキュリティ情報

    最も起こりうる攻撃

    セキュリティ情報最大深刻度

    最大悪用可能性指標

    プラットフォーム緩和策、および特記事項

    MS14-058

    (カーネル モード ドライバー [win32k.sys])

    攻撃者が Office ドキュメント、または Web ブラウザを利用してユーザーのコンピューターに悪意のあるフォントをロードし、その結果、リモートでコードが実行される。

    緊急

    0

    CVE-2014-4148 および CVE-2014-4113 の悪用が確認されています。CVE-2014-4148 は、リモートコード実行に利用されました。CVE-2014-4113 は特権の昇格に利用されました。

    NULL ページ マッピングの緩和策 (Windows 7 で設定可能、Windows 8 以降では既定で有効) が有効であれば、32 ビット プラットフォームで CVE-2014-4113 は悪用できません。

    MS14-056

    (Internet Explorer)

    被害者が悪意のある Web ページを閲覧する。

    緊急

    0

    CVE-2014-4123 の悪用が確認されています。サンドボックス エスケープとして利用されました。

    この更新プログラムが解決するリモートコード実行の脆弱性に対する、積極的な攻撃は確認されていません。

    MS14-057

    (.NET Framework)

    攻撃者が脆弱な Web アプリケーションに対して悪意のあるデータを送信する。

    緊急

    1

    MS14-060

    (Windows OLE コンポーネント)

    被害者が、悪意のある実行ファイルを実行するように脆弱性を悪用する、悪意のある Office ドキュメントを開く。(#1)

    重要

    0

    CVE-2014-4114 の悪用が確認されています。

    非管理者アカウントの使用、または UAC を「常にプロンプトする」に設定することで、脆弱性の影響を緩和できます。

    MS14-061

    (Word)

    被害者が悪意のある Word ドキュメントを開く。

    重要

    1

    MS14-062

    (カーネル モード ドライバー [msmq.sys])

    低い権限でコードを実行している攻撃者が、SYSTEM に昇格するために悪用バイナリを実行する。

    重要

    1

    この脆弱性は、Windows Server 2003 にのみ影響を与えます。

    MS14-063

    (カーネル モード ドライバー [fastfat.sys])

    重要

    2

    物理的に、コンピューターに USB スティックを挿す機能が必須です。

    MS14-059

    (ASP.NET MVC)

    被害者が悪意のあるリンクを開く。

    重要

    3

    クロス サイト スクリプティングの脆弱性です。既定で、インターネット ゾーンの IE8-IE11 で有効な XSS フィルターが、この脆弱性を悪用しようとする試みを阻止します。

     

    #1: Office ドキュメントに限らず、特別に細工された OLE オブジェクトを含んだ添付ファイルを開かせます。多くの種類の添付文書に、そのような OLE オブジェクトが含まれる可能性があります。すべての種類の Office のファイルおよび多くのサード パーティのファイルの種類に、悪質な OLE オブジェクトが含まれる恐れがあります。

    ジョン・バイアレク、およびスハ・カーン、MSRC エンジニアリング

    更新履歴:

    2014/10/16: ドキュメントの種類を明確にするために、#1 を追加しました。