Windows HotFix Briefings
(2005年12月9日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/12/09

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[攻撃情報]
IEによるJavaScriptのWindow()関数処理の脆弱性を悪用した攻撃を確認

情報の内容 攻撃情報
情報ソース マイクロソフト、セキュリティベンダ
報告日 2005/11/30
対象環境 Internet Explorer

 マイクロソフトやセキュリティベンダ各社は、2005年11月25日版のHotFix Briefingsで既報の「Internet ExplorerのJavaScriptにリモートでコードを実行できる脆弱性が存在」の脆弱性を悪用する攻撃を確認した、と2005年11月30日に報告した。

Windows HotFix Briefings(2005年11月25日版)

 マイクロソフトによれば、IEによるJavaScriptのonLoadイベントでのWindow()関数処理に脆弱性があるため、細工されたWebサイトに接続するだけで、ユーザーの操作なしにトロイの木馬「Win32/Delf.DH」がダウンロードされてしまうという。このトロイの木馬は、別のトロイの木馬を5分おきにWindowsのシステム・フォルダにall.exeというファイル名で保存し、その後に実行しようと試みる。Win32/Delf.DHの潜伏先はユーザーのスタートアップ・フォルダで、ファイル名などの詳細は以下のとおりだ。

ファイル名 kvg.exeあるいはkeks.exe
ファイル・サイズ 9728bytes
SHA1ハッシュ値 E28AEFD6962D2283F85D8E962F2E9979BA826623

 現在、マイクロソフトはこの脆弱性に対する修正プログラムを提供していない。同社のセキュリティ・アドバイザリによれば、現在ベータ版で運用中のWindows Live Safety Centerで[Full Service Scan]−[Complete Scan]を実行することにより、Win32/Delf.DHを駆除できるとしている。

 今後、この脆弱性を悪用した攻撃サイトの増加が懸念される。修正プログラムがマイクロソフトから提供されるまで、IEのセキュリティ設定でアクティブ・スクリプトの実行を無効にする、信用できないサイトを閲覧しない、といった回避策を採ったほうがよい。

■関連サイト

■HotFix Report BBS関連スレッド

 
[実証コード情報]
MS05-051に対する実証コードが公開

情報の内容 実証コード情報
情報ソース セキュリティベンダ
報告日 2005/11/27、2005/12/01
対象環境 Windows 2000、Windows XP SP未適用/SP1/SP1a、Windows Server 2003 SP未適用

 Unl0ck Research TeamのDarkeagle氏は、MS05-051で報告された「MSDTCの脆弱性(CAN-2005-2119)」に対する実証コードを2005年11月27日に公開した。

HotFix Alert(2005年10月18日版)

 CAN-2005-2119の脆弱性は、分散トランザクション処理を行うMSDTC機能に未チェックのバッファが存在するというものだ。この脆弱性により、細工されたメッセージをMSDTCが受信すると、任意のコードが実行される危険性がある。Windows 2000ではMSDTCがデフォルトで有効になっており、かつ匿名での接続を受け付けるため、脆弱性を悪用した攻撃の被害が最も懸念される。

 Darkeagle氏の作成した実証コードに対する詳細なドキュメントが提供されていないため、リモートでコードが実行されるかは不明だが(ソースコード中のコメントによればWindows 2000のロシア語版でテストしたもよう)、SANS Instituteによれば、攻撃対象となるコンピュータをサービス不能(DoS)状態にするだけだとしている。

 また、2005年12月1日付けで、Swan氏もMS05-051に対する別の実証コードを発表した。

 このコードは、Darkeagle氏のコードとは異なるものだが、同様にネットワーク経由で対象となるコンピュータ上でコードを実行する実証コードである。実証コードが2種類公開されたことから、このコードを悪用したワームが作成される危険性が高まっている。まだMS05-051の修正プログラムを適用していないのなら、早急に適用したほうがよい。

■関連サイト

■HotFix Report BBS関連スレッド

 
[実証コード情報]
MS05-053の脆弱性に対する実証コードが公開

情報の内容 実証コード情報
情報ソース セキュリティベンダ
報告日 2005/11/29
対象環境 Windows 2000、Windows XP SP未適用/SP1/SP1a、Windows Server 2003 SP未適用

 Winny Thomas氏は、MS05-053で報告された「Windows Metafile(WMF)の脆弱性(CAN-2005-2124)」を検証する画像ファイルを生成する2種類の実証コードを2005年11月29日に公開した。

HotFix Briefings ALERT(2005年11月15日版)

 この2つのコードはいずれも、WMF(Windows Metafile)形式の画像ファイルを作成するものだ。それぞれのコードにより生成されたファイルは、エクスプローラで開くことによりエクスプローラが異常終了するものと、IEで開くとCPU使用率が100%になるものである。

 これらの実証コードは任意のコードを実行するものではないが、GDIの脆弱性を突く実証コードが公開されたことから、攻撃コードを含んだ画像の電子メールへの添付やWebサイトへの悪用などが懸念される。MS05-053の修正プログラムを適用していない場合には、早急に適用したほうがよい。

■関連サイト

■HotFix Report BBS関連スレッド

 
[ツール情報]
マイクロソフトがログオフ時にレジストリへの接続を解放するツールを公開

情報の内容 ツール情報
情報ソース マイクロソフト
報告日 2005/12/06
対象環境 Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003

 マイクロソフトは、User Profile Hive Cleanup Service(以下UPHClean)を2005年12月6日に公開した。なおダウンロードに当たっては、Windows Genuine Advantageでの認証が必要である。

 UPHCleanは、ユーザーがログオフしても実行中のソフトウェアがレジストリ・ハンドルを閉じないために、ユーザー・プロファイルのレジストリ・ハイブをアンロードできない、という問題を解消するツールである。このような現象は、サーバ上で移動ユーザー・プロファイルを使用している場合や、Shared Computer Toolkit for Windows XPによりプロファイルをロックしている場合に特に問題となる。原因となるのは、プリンタ・ドライバやウイルス検知サービスの不適切な実装であることも多い。ログオフしてもユーザー・プロファイルのレジストリ・ハイブをアンロードできない場合の、各Windows OSでの問題点には以下のようなものがある。

・Windows NT 4.0
 プロファイルのアンロードに失敗すると、システムは再試行などは行わず、移動プロファイルは同期されない。

・Windows 2000
 システムは、1秒間隔で60回プロファイルのアンロードを試行する。その間、設定を保存中であるというメッセージのままユーザーは待たされる。それでも成功しない場合はあきらめ、移動プロファイルは同期されない。

・Windows XPおよびWindows Server 2003
 レジストリのコピーを使ってプロファイルが同期されるため、ユーザーはWindows 2000の場合のように待たされることがない。ただし、プロファイルをアンロードするまでは、プロファイルが使用していたメモリが解放されないという問題は解決しない。

 このような状況では、例えばイベント・ログにID1000(Windows 2000)あるいはID1517/1524(Windows XPおよびWindows Server 2003)とともに、プロファイルのアンロードに失敗したという内容が記録される。

 UPHCleanはサービスとして実行される。インストール・ファイルとともに、ダウンロード・サイトに登録されているreadme.txtに詳述されているが、新設されるレジストリを編集することにより、どのプロセスがレジストリ・ハイブをアンロードしないのか、といった情報をレポートするオプションを設定できる。なおインストールに当たり、Windows Installer 2.0以上が必要である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Windows APIのCreateRemoteThread()関数に脆弱性が存在

情報の内容 脆弱性情報
情報ソース セキュリティベンダ
報告日 2005/12/01
対象環境 Windows 2000、Windows XP、Windows Server 2003

 Nima Selehi氏は、Windows APIのCreateRemoteThread()関数にサービス拒否を受ける脆弱性がある、と2005年12月1日に報告した。

 この脆弱性だけではリモート攻撃はできないものの、ローカル・コンピュータのユーザー権限でプログラムを実行することにより、システムのサービス拒否状態(DoS)や任意のプロセスの停止を引き起こすことが可能であるという。すでに実証コードが公開されており、ワームやウイルスに組み込まれることが懸念される。不審なプログラムを不要にローカルで実行しない、信頼できないユーザーは権限の小さいユーザーであってもローカル・ログオンさせない、といった注意が必要である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
IEのCSSインポート機能に脆弱性が存在

情報の内容 脆弱性情報
情報ソース セキュリティベンダ
報告日 2005/12/01
対象環境 Internet Explorer 6.0 SP未適用/SP1/SP2

 Matan Gilon氏は、IEのCSSインポート機能の脆弱性により別ドメインのファイルを読み込めてしまう、と2005年12月1日に報告した。

 IEがWebページをレンダリングする際に参照するCSSにおいて、@import句を利用することにより、異なるドメインから参照できてしまうという。@importやaddImportで参照するURLが、正しく記述されていないCSSファイルであってもIEが強引に字句解析してしまうため、HTMLやJavaScriptのファイルを読み込めてしまうことに起因するという。この脆弱性を攻撃に使われると、機密情報が盗まれてしまう危険性があるとのことだ。

 同氏はGoogle DesktopとIEを対象とした実証コードを配置したサンプル・サイトを用意している。すでにサンプルとなるサイトがあるため、実際の攻撃に対する危険性が高まっている。修正プログラムはまだ提供されていないので、攻撃による被害を軽減するために、アクティブ・スクリプトの実行を無効にするなどの方法で対応したほうがよい。

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報

[マイクロソフト]

[その他のベンダー]

 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間