ドライブバイ ダウンロード攻撃に関する注意 – その 1

本記事は、Microsoft Security のブログ “What You Should Know About Drive-By Download Attacks – Part 1” (2011 年 12 月 9 日公開) を翻訳した記事です。 前回のブログ (英語情報) では、Java エクスプロイトを詳しく解説し、すべてのソリューションを最新の状態に保つ必要性を強調しました。その記事を書いた後、お客様から攻撃者が脆弱性を利用してシステムをどのように侵害するのか詳しく知りたいという質問をいくつか受けました。そこで、この 2 部構成のブログで、最新の状態に保たれていないソフトウェアを利用する攻撃者の常套手段であるドライブバイ ダウンロード攻撃について詳しく解説することにしました。これらの記事では、マイクロソフト セキュリティ インテリジェンス レポートで数回に分けて公開したデータと分析を引用しています。ドライブバイ ダウンロード攻撃には、いくつかのバリエーションがあります。エクスプロイトは、多くの場合、Web ページと共に電子メールやインスタント メッセージング (IM) サービスを介して配布されます。ここでは、Web ページによるバリエーションのみを取り上げて、簡潔にまとめたいと思います。 ドライブバイ ダウンロード サイトとは、Web ブラウザーやブラウザー アドオンにある特定の脆弱性をターゲットとするエクスプロイトを 1 つ以上ホスティングしている Web サイトのことです。マルウェアを配布する攻撃者は、さまざまなテクニックを駆使して、侵害された Web サイトや意図的に悪意のあるコードをホスティングしている Web サイトにインターネット ユーザーを導きます。脆弱性が存在するコンピューターを使用しているユーザーは、何もダウンロードしようとしなくても、そのような Web サイトにアクセスするだけで知らないうちにマルウェアに感染する可能性があります。 通常、このテクニックでは、侵入によってサイトにアクセスしたり、ブログのコメント欄など、セキュリティの低い Web…


2009年6月のセキュリティ情報

小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-018 (Active Directory):特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。 MS09-019 (Internet Explorer):幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。 MS09-020 (IIS):特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。 MS09-021 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。 しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。 MS09-022 (Spooler):特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。 MS09-023 (Windows Search):特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。 MS09-024…

3

ISP視点のセキュリティ

小野寺です。 前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。  http://www.iij.ad.jp/development/iir/ MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。また、フォーカスリサーチで、DNSのキャッシュ ポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。 そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・


Microsoft Updateと再起動とネットワーク

小野寺です。 株式会社インターネットイニシアティブ (IIJ) から、興味深いレポートが公開されました。  http://www.iij.ad.jp/development/iir/ ISPの視点で、顧客であるインターネット利用者を保護するために、インシデントにどの様に対応していったかがまとめられています。 攻撃を受けたサーバー側や全体的で概略的なレポートは今までも多くありましたが、ISPの立場で詳解されたレポートはあまり多くなく興味深い内容でした。それにしても、ISPが回線や利用者を守っていくために、これ程までの労力(血と汗?)を費やしている事は知らない訳ではないつもりですが、レポートとして見てみると改めて驚かされます。 その中に、以下の様な記述があり、「やはり、そうなのかー」と思う反面、マイクロソフトからでは絶対に知る事ができない、回線を見守っている立場でしかわからない事象ですね。 IIJでは、この期間の7 月初旬に、突発的な通信量の減少を観測しました。これは、7月のマイクロソフトのOS アップデートで再起動を必要としたため、常時通信を行うP2P 型ファイル共有アプリケーション等を利用している端末において、通信が停止したためではないかと判断しています。

1

DNSの脆弱性関係の新規アドバイザリ

小野寺です。 「DNSの脆弱性とか、自動更新を止めるワームとか」でも書きましたが、DNSの脆弱性の詳細が公開されたことで対応を急ぐ必要が出ています。それに伴って、その事を伝えるための、セキュリティ アドバイザリ 956187 を公開しました。 また、MS08-037 を更新して、3つの既知の問題情報を追加しました。詳細は、サポート技術情報 953230 を見てもらいたいのですが、簡単に紹介しておきます。 ポートの競合問題追加のサービスを実行している DNS サーバーで、ソケット プールに割り当てるポート領域に静的な UDP ポートが必要な場合、ポートの競合が起こり、サービスが停止する可能性がある。 SBS 環境に、この更新プログラムをインストールすると、どのような問題が起こる可能性がありますか?Windows Small Business Server (SBS) 2003 で、SBS のシステムがサービスを停止する、または正しく動作しない可能性がある。詳細は、サポート技術情報 956189 。 境界ファイアウォールおよび境界の NAT デバイスに関する現象NATデバイスによっては、DNS クエリが、ソース ポートをランダムに使用しなくなる可能性がある。


DNSの脆弱性とか、自動更新を止めるワームとか

小野寺です。 DNS の脆弱性について さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・ ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。 これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。 今日はまず、自分自身の環境を再度、見直して欲しい!Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。 Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。 また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。  Microsoft Updateを妨害するワームこの DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。 自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft…

3