MS08-067の悪用コード (Exploit)


小野寺です


先日お伝えしたMS08-067に関するセキュリティ アドバイザリを公開しました。
http://www.microsoft.com/japan/technet/security/advisory/958963.mspx


MS08-067に関する悪用コードが公開されており、この悪用コードは Windows 2000、Windows XP および Windows Server 2003 上でコード実行が可能です。 もちろん、MS08-067を適用していれば問題ありませんので、引き続きMS08-067の適用を呼び掛けるためのアドバイザリとなります。


また、MS08-067に関して、マイクロソフトの Security Vulnerability Reserach & Defenceチームが、幾つか、Q&AをBlog に公開しているので、翻訳したものをこちらにも載せておきます。



この脆弱性は、HTTP 上の RPC を介して到達する可能性がありますか?
いいえ。この脆弱性は、HTTP 上の RPC を介して到達するものではありません。HTTP 上の RPC はエンド ツー エンドのプロトコルで、3 種類の役割があります: クライアント、プロキシおよびサーバーです。明確に言うと、これは標準の RPC とは異なるもので、この二つのプロトコルには相互運用性がありません。さらに、影響を与えるコードが成功する唯一の方法は名前付きパイプによる方法のため、TCP/IP を介して接続した場合、インターフェイスのセキュリティ コールバックは接続をドロップします。


一般的な HTTP 上の RPC を使用したシナリオでは、Outlook を使用して Exchange サーバーに接続し、電子メールにアクセスします。HTTP プロキシ上の RPC を使用しているため、Exchange サーバーは外部の攻撃にさらされません。


HTTP 上の RPC に関する詳細情報:
http://msdn.microsoft.com/en-us/library/aa375384.aspx (英語情報)


HTTP 上の RPC と Exchange の使用に関する詳細情報:
http://technet.microsoft.com/ja-jp/library/aa996072(EXCHG.65).aspx


ISA は、この脆弱性に対してどのような防御策を提供しますか?
ISA および TMG RPC のフィルターは、RPC エンドポイント マッパー (TCP:135) で開始する RPC のトラフィックだけを認識します。MS08-067 の攻撃は、CIFS (TCP:445) または NetBIOS (TCP:139) 内で行われるため、ISA または TMG RPC フィルターでは見えません。
既定で、ISA Server および TMG は、外部からの RPC、NetBIOS または SMB トラフィックを許可しません。
既定で、ISA 2000 は、LAT (社内ネットワーク) からローカル ホストへの、フィルタリングされなかったすべてのトラフィックを許可します。
既定で、ISA 2004、2006 および TMG は ISA 2004、2006 および TMG または配列メンバーおよび Content Storage Servers (CSS) のリモート管理のホストを除いたローカル マシンに対する RPC を許可しません。影響を受けた CSS およびリモート管理のホストは ISA または TMG Server に脅威をもたらすため、直ちに更新プログラムを適用する必要があります。
ISA または TMG ポリシーを変更して、ローカル ホストに対する SMB または NetBIOS トラフィックを許可している場合 (例: 支店のシナリオなど)、この更新プログラムを、直ちに ISA または TMG Server に適用してください。


「restrict anonymous named pipes」のグループ ポリシーが構成されている場合、匿名のユーザーは影響を受けるコードに到達できますか?
プラットフォームのバージョンにより、2 つの動作に分かれます。


残念ながら、Windows XP SP2 および Windows Server 2003 のグループ ポリシー構成 「ネットワーク アクセス: 匿名でアクセス可能な名前付きパイプ」 (詳細は http://technet.microsoft.com/en-us/library/cc785123.aspx - 英語情報- をご覧ください) は、ブラウザーの名前付きパイプへの匿名の接続を禁止しません。既定で、この名前付きパイプへの接続は、どのような構成だとしても、コードの影響を受ける可能性があります。つまり、「ブラウザー」が一覧から削除されていても、匿名で名前付きパイプに到達されてしまう可能性があります。 Windows Vista および Windows Server 2008 では、ブラウザーの名前付きパイプを削除し、システムを再起動した場合、この動作が変更され、構成が有効になります。


Terminal Server または リモート デスクトップ接続を介する共有ファイルおよび/またはプリンターはこの脆弱性の影響を受けますか?
いいえ。Terminal Server または リモート デスクトップ接続は、RDP プロトコルに組み込まれた仮想チャネルを使用してリダイレクトします。さらに、Terminal Server はポート 139 または 445 を開きません。

Comments (4)
  1. Anonymous より:

    [WEB SECURITY] Writeup by Amit Klein (Trusteer): Address Bar Spoofing for IE6http://www.webappsec.org/lists/websecurity/archive/2008-10/msg00072.htmlThis write-up presents two new phishing attack techniques, abusing an address bar issue (security vulnerability)

  2. Anonymous より:

    MS08-067 の補足情報が MS/SVRD チームのブログにあります

Comments are closed.

Skip to main content