2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT


小野寺です


今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。


セキュリティ情報 (新規):
概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx


毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx



MS09-001 (SMB):
特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。



悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。


また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
技術的な詳細については、このブログの Conficker.B に記載してあります。


さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。


企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
http://support.microsoft.com/kb/891716/


悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/security/malwareremove/default.mspx



 

Comments (2)
  1. Gan より:

    今年はこんなWindows Update ばかりだと良いですね。

  2. Anonymous より:

    2009 年 1 月のセキュリティ情報http://www.microsoft

Comments are closed.

Skip to main content