12月月例パッチが公開されるも,3つの未修正の脆弱性が存在する

インターネット セキュリティ

 Microsoftは今週火曜日に12月の月例パッチをリリースした.これによって,緊急6件,重要2件の脆弱性が修正された.しかしながら,「Internet Explore」や「WordPad」などに計3つの脆弱性が存在し,修正されずに存在しているらしい.そして,既にそれらに関するExploitコードが公開されている.

 12月のMS月例パッチ公開、既に一部が悪用も - ITmedia

 マイクロソフト、12月の月例パッチを公開--「緊急」が6件と「重要」が2件 - ZDNet

 2008年最後のセキュリティリリース (2008年12月) - 日本のセキュリティチーム (Japan Security Team)

 米Microsoftは12月9日(日本時間10日)、事前に通知した通り緊急6件、重要2件のセキュリティ情報を公開し、Internet ExplorerIE)やWordなどに存在する多数の脆弱性に対処した。

 緊急レベルの6件は、GDI、Windows Search、IEVisual Basic、Word、Excel脆弱性をそれぞれ解決している。
     12月のMS月例パッチ公開、既に一部が悪用も - ITmediaより引用

 各セキュリティ情報「MS08-070 (VB6 Runtime)」「MS08-071 (GDI)」「MS08-072 (Word)」「MS08-073 (IE)」「MS08-074 (Excel)」「MS08-075 (Windows Search)」「MS08-076 (WMC)」「MS08-077 (SharePoint)」に関して詳しくは以下に引用する.

MS08-070 (VB6 Runtime):
特別に細工されたコンテンツが含まれる Web サイトを閲覧した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。
今回対処としているランタイム コンポーネントは、アプリケーションと共に再配布可能なモジュールとなっているため、利用者が特別に意識していなくても、システム上に存在する可能性があります。確認する最も簡単な方法は、セキュリティ情報を参照の上、対象コンポーネント ファイルを検索していただく事です。
これらのコンポーンネントが、推奨される開発手法に基づいて再配布されている場合、%systemroot%\system32 にインストールされて、その場合は、Visual Basic 6.0 ランタイム拡張ファイル (KB926857) のセキュリティ更新プログラムを適用する事で対処可能です。しかし、アプリケーションが独自のディレクトリにコンポーネントを配置した場合は、アプリケーション提供元に問い合わせるか、前述のセキュリティ更新プログラムを手動で適用する事となります。
また、これらの更新プログラムについて、幾つかの既知の注意点があるため、http://support.microsoft.com/kb/932349 を参照することをお勧めします。

MS08-071 (GDI):
特別な細工がされた WMF 画像ファイルを開くと、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-072 (Word):
特別に細工された Word またはリッチ テキスト形式 (RTF) ファイルを表示した場合、リモートでコードが実行される可能性のある脆弱性に対処しています。 Microsoft Office Word および、Microsoft Office Outlookが影響を受けます。
本日、公開しているセキュリティ アドバイザリとは別の脆弱性となります。

MS08-073 (IE):
特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-074 (Excel):
特別な細工がされた Excel ファイルをユーザーが表示した場合、リモートでコードが実行される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/959070 に記載しています。

MS08-075 (Windows Search):
特別な細工がされた保存された検索ファイルがWindows エクスプローラーで開かれ、保存された場合、またはユーザーが特別な細工がされた検索 URLをクリックした場合、リモートでコードが実行される可能性があります。

MS08-076 (WMC):
特別な細工がされたサーバーまたは、Webサイトにアクセスする事で、資格情報が悪用され、結果として、リモートでコードが実行される可能性のある脆弱性に対処しています。

MS08-077 (SharePoint):
SharePoint サイトの管理用 URLを直接参照し、特定の操作をする事で、特権が昇格される可能性がある脆弱性に対処しています。
幾つかの既知の注意点については、http://support.microsoft.com/kb/957175 に記載しています。
     2008年最後のセキュリティリリース (2008年12月) - 日本のセキュリティチーム (Japan Security Team)より引用

 以上のように,非常に多くの脆弱性が修正されたのだが,未だにゼロデイ攻撃の標的となる脆弱性が3件存在するらしい.実際に,それらの脆弱性に関しては,それを悪用するExploitコードも公開されているとのこと.また,これら3件の脆弱性に関しては,セキュリティパッチはまだ存在しない.

But earlier on in the day, SEC Consult security expert Bernhard Mueller reported a memory problem in Microsoft SQL Server 2000 he could exploit in his lab to inject and execute code in a system.

This was joined, later in the day, by an exploit connected to Internet Explorer 7's handling of XML which is being circulated on Chinese forums. According to the US PCWorld website, security expert Wayne Huang of Armorize Technologies reports that this hole is already being exploited. On a heise Security Windows XP test system, already updated to include the December patches, the zero-day exploit launched a program called ko[1].exe which immediately contacted a Chinese server and began to install rootkit components. The problem is, therefore, extremely critical and acutely threatens the users of Internet Explorer 7. As a temporary workaround, users can disable Active Scripting as described heise's Browsercheck.
     Two new zero-day exploits dent Microsoft's Patch Tuesday - heiseSecurityより引用

Microsoft has confirmed it is investigating another zero day exploit. This time, the vulnerability appears to affect the WordPad Text Converter for Word 97 files on Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003 Service Pack 1, and Windows Server 2003 Service Pack 2. Microsoft says that Windows XP Service Pack 3, Vista and Server 2008 are unaffected as they do not contain the vulnerable code.
     Third Zero Day exploit appears - heiseSecurityより引用

Microsoft SQL Server 2000」における脆弱性が1件,「Internet Explorer 7」における脆弱性が1件,そして「WordPad」における脆弱性が1件である.ワードパッドに関する脆弱性に関しては,ITProのほうにも記事があるので,そちらを紹介しつつ簡単に説明したい.

今回脆弱性が見つかったのは、「ワードパッド テキストコンバーター」。これは、Wordがインストールされていない環境でも、Word文書ファイルをワードパッドで開けるようにするコンポーネントWindowsに標準で含まれている。

 テキストコンバーターは、Windows Write(.wri)およびWord 6.0/97/2000/2002(.doc)形式のファイルを変換して、ワードパッドで開けるようにする。これらのうち、今回問題になっているのは、Word 97のファイルを変換する機能。この機能に問題があるため、細工が施されたWord 97のファイル(.doc、.rtf、.wri)をワードパッドで読み込むと、ファイル中の悪質プログラムが実行される恐れがある。
     ワードパッドに新たな脆弱性、ゼロデイ攻撃を確認 - ITPro

 この脆弱性は,「ワードパッドコンバーター」にあり,Word 97のファイルを変換するための機能に問題がある.影響を受けるシステムは,Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows Server 2003 Service Pack 1, and Windows Server 2003 Service Pack 2などが挙げられる.また,「Windows XP Service Pack 3」や「Vista and Server 2008」はこの問題の影響を受けない.そのため,「Windows XP」ユーザーは,XP SP3を適用することが有効な対処法として考えられる.

 「Microsoft SQL Server 2000」における脆弱性は,メモリー管理の問題によって生じる.これによって,任意のコードを実行される危険性がある.これは," sp_replwritetovarbin"プロシージャに問題があることによるらしい.したがって,このプロシージャを取り除くことが推奨される.

 「Internet Explorer 7」における脆弱性は,IE7における特定のXMLタグの不正な処理によって「mshtml.dll」のメモリが解放されてしまうことにより生じる.これによって,任意のコードが実行されてしまう危険性がある.実際に,すべてのパッチが当てられている環境において("a fully patched Windows XP SP3 and a Vista SP1 system"),許可無くマルウェアをダウンロードさせられてしまうことが可能である.詳しくは,下記引用文及び引用先の記事を参照して欲しい.対処法としては,パッチがリリースされるまでは,「Active Scripting」を無効にすることで回避出来る.

The root cause was found to be the incorrect handling of certain XML tags in Internet Explorer 7.x that references already freed memory in the mshtml.dll.

We have confirmed this vulnerability to be affecting, at least, a fully patched Windows XP SP3 and a Vista SP1 system. The exploit uses publicly known heap-spray techniques that enable control over a vtable pointer, allowing arbitrary code execution.
     Downloader Trojan Exploits Hole in IE 7 - McAfee Avert Labs Blogより引用

 以上の「Microsoft SQL Server 2000」「Internet Explorer 7」「WordPad」における脆弱性は,今だ未修正でありセキュリティパッチが存在しない.しかも,Exploitコードが公開され,実際に一部では被害が報告されている.これらの脆弱性は,それぞれ「問題となるプロシージャを取り除く」「Active Scriptを無効」「XP SP3を適用」などの対処をすることで,危険性を回避することが出来る.したがって,セキュリティパッチが公開されるまでは,各脆弱性に関して,上述したような自衛手段を講じるしかないため注意が必要である.


追記 2008/12/11 16:00

 国内ニュースサイトでも関連記事が続々と挙がってきているので,そちらを紹介したい.

 Windowsのワードパッド付属ツールに“パッチ未提供”の脆弱性 - COMPUTERWORLD.jp
 「IE」のぜい弱性を突く新たなゼロディ攻撃が出現,SANSが警告 - ITPro
 IE 7にゼロデイの脆弱性、月例パッチでは未解決 - ITmedia
 「Internet Explorer」にパッチ未対応の脆弱性 - ZDNet

本文の補足として,各記事の一部を以下に引用する.

今回の脆弱性はワードパッド(の付属ツール)に発見されたものであり、攻撃者の用意したファイルをWordで開いても脆弱性の影響は受けない。ただし、攻撃者が拡張子を「.wri(Windows Write文書の拡張子)」に変更した場合、既定の状態ではWordではなくワードパッドが起動してしまうため、MicrosoftはWordをインストールしているユーザーに対しても注意を呼びかけている。
     Windowsのワードパッド付属ツールに“パッチ未提供”の脆弱性 - COMPUTERWORLD.jpより引用

 この脆弱性は,WordPadの「ワードパッド テキストコンバーター」機能にある.そのため,「Word」など他のアプリケーションであれば当然ながら問題はない.ただし,攻撃者がファイルの拡張子をワードパッドに対応付けされているものに変更した場合,それを開こうとすればワードパッドが開いてしまう.そうすると,当然ながらこの脆弱性の影響を受けてしまう.

 SANS Internet Storm Center、McAfee、Secuniaなどの情報を総合すると、脆弱性XMLタグを処理する際のヒープオーバーフロー問題に起因する。細工を施したHTML文書を使って脆弱性が悪用された場合、任意のコードを実行される恐れがある。

 脆弱性は、完全にパッチを当てたWindows XP SP3/Windows 2003上のIE 7で確認された。McAfeeVista SP1にも影響するとしており、ほかのバージョンのWindowsIEも影響を受ける可能性がある。
     IE 7にゼロデイの脆弱性、月例パッチでは未解決 - ITmediaより引用

 この脆弱性は完全に対策された(すべてのパッチが当てられた状態の)IE 7においても存在する.脆弱性の概要は本文でも書いたが,以下にZDNetの記述を引用する.

10日に明るみに出たこの未対応の脆弱性は、XMLタグを生成し、その後6秒間は動作せずにウイルス対策エンジンによる検出を回避しようとする。それからブラウザをクラッシュさせ、ブラウザが再起動されたときに悪意あるコードを実行するという。影響が確認されているのは「Windows XP」または「Windows Server 2003」上で「Internet Explorer 7」を使用しているユーザーだ。
     「Internet Explorer」にパッチ未対応の脆弱性 - ZDNetより引用

 この脆弱性に対するExploitは既に公開されており,実際に中国では被害が出ている模様.当記事の本文中に紹介されている"McAfee Avert Labs Blog"の該当記事に被害などが書かれている.

 ITProではこの脆弱性に関して,「IE使用を避ける以外の対策は不明」と書かれているが,消極的な対策ではあるが「Active Scriptを無効」する方法がheise Securityで紹介されている.ただし,これは完璧な対処法ではなく,一時的な次善策に過ぎない.その他,信頼できないサイトを閲覧したり,不審なリンクをクリックしないなどの自衛策を取ることが望まれる.


追記 2008/12/11 22:00

 IE7ゼロデイ攻撃に関して,各セキュリティベンダーの対応状況と,ユーザーが取るべき次善策がINTERNETWatchのほうに書かれている.

 IE7にパッチ未提供の脆弱性、MSがセキュリティアドバイザリを公開 - INTERNETWatch

 ウイルス対策ソフトでも対応が進められており、トレンドマイクロでは「JS_DLOAD.MD」、マカフィーでは「Downloader-AZN」、シマンテックでは「Bloodhound.Exploit.219」といった名称で攻撃の検出に対応している。

セキュリティアドバイザリでは攻撃の回避策として、インターネットセキュリティゾーンの設定を変更してActiveXコントロールスクリプトが実行される前にダイアログが表示されるようにする方法や、IE7データ実行防止DEP)機能をオンにする方法を紹介している。
     IE7にパッチ未提供の脆弱性、MSがセキュリティアドバイザリを公開 - INTERNETWatchより引用

ダイアログと言わず,無効にしておいたほうが賢明だろう.DEPも必ずしも有効な方法ではないため,あくまで次善策であることに留意しなければならない.