DNSの脆弱性とか、自動更新を止めるワームとか


小野寺です。


DNS の脆弱性について 
さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・


ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。 これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。


今日はまず、自分自身の環境を再度、見直して欲しい!
Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)
Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。


Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。


また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。 


Microsoft Updateを妨害するワーム
この DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。


自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft Updateのサイトで、エラー 1058 や エラー  0x8DDD0018 が表示される事が多い様です。


以下に、設定を既定の推奨設定に戻すコマンドとレジストリファイルを手順と共にをサンプルとして載せておきます。


1. OneCare Live PC Safety でウイルス検査
   駆除できないものがある場合は、セキュリティ情報センターに相談
   感染していたワームが駆除てきた場合は、2 へ



2. 自動更新の設定の回復
以下の内容をメモ帳等に張り付けて、"au.reg"等のファイル名で、デスクトップに保存し、au.regをダブルクリックする。



Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate]
"DisableWindowsUpdateAccess"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003


3. 自動更新の実行
    以下の内容をメモ帳等に張り付けて、"au.cmd"等のファイル名で、デスクトップに保存し、au.cmdをダブルクリックする。Windows Vista の場合は、"sc config BITS start= demand" を "sc config BITS start= delayed-auto”に変更しておくと、完全に既定の設定です。



reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions /t REG_DWORD /d 4 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v ScheduledInstallTime /t REG_DWORD /d 3 /f


reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d 4 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v ScheduledInstallTime /t REG_DWORD /d 3 /f


sc config BITS start= demand
sc config wuauserv start= auto
sc start wuauserv


4. ウイルス対策ソフトが未導入なら導入する
  Microsoftからは、Windows Defender (スパイウェア対策、無償) や、OneCare (総合セキュリティ対策ソフト) を提供しています。
  また、各 ISP から、色々なセキュリティサービスを提供していますので、自分の加入しているISPのサイトをみてみると良いでしょう


 


2008/07/29: 対応方法を変更

Comments (3)
  1. Anonymous より:

    小野寺です。 「 DNSの脆弱性とか、自動更新を止めるワームとか 」でも書きましたが、DNSの脆弱性の詳細が公開されたことで対応を急ぐ必要が出ています。 それに伴って、その事を伝えるための、 セキュリティ

  2. Anonymous より:

    多数のベンダーのDNSソフトにDNSキャッシュポイズニングの脆弱性が指摘されている問題で、米Microsoftは7月25日付でセキュリティアドバイザリーを公開し、この脆弱性を突いた悪用コードについて注意を喚起した。一方、Mac OS Xも影響を受けるとの情報もあるが、Appleはまだパッチを公開していない。 この問題では脆弱性に関する詳報が手違いで流出し、悪用コードがインターネットで公開されたと伝えられている。Microsoftは7月8…

  3. Anonymous より:

    小野寺です 今月は、事前通知でお知らせしていた件数から変更があり、計 11 件 (緊急 6 件、重要 5 件)となります。予定していた、「Media Player のセキュリティ情報」が、品質上の理由で延期となりました。

Comments are closed.

Skip to main content