Windows HotFix Briefings Alert

緊急セキュリティ情報
Windows XP/Server 2003の「ヘルプとサポート センター」にリモートからのコード実行を許容する脆弱性

―― 複数のステップを踏まなければ攻撃は成功しないが、最悪の場合はリモートから攻撃者の制御下に置かれる危険 ――

DA Lab Windowsセキュリティ
2004/05/14

本HotFix Briefingsでは、Windows関連のセキュリティ・ホール(脆弱性)情報についてお知らせします。

 月例の修正プログラム公開日である2004年5月13日、マイクロソフトは、Windows XPとWindows Server 2003のヘルプ機能である「ヘルプとサポート センター」に脆弱性があり、最悪の場合、コンピュータがリモートから攻撃者によって完全に制御される危険があることを公表し、この問題を修正する修正プログラムを公開した。最大深刻度は上から2番目の「重要」レベルだが、万一攻撃が成功した場合の影響は重大である。できるだけ早期に修正プログラムを適用するか、回避策を講じる必要がある。

MS04-015840374
「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される

最大深刻度 重要
報告日 2004/05/12
MS Security# MS04-015
MSKB# 840374
対象環境 Windows XP SP未適用、SP1、SP1a/Windows Server 2003
再起動 なし(ただしファイルが使用中の場合は再起動が必要)

セキュリティ・ホールの概要と影響度

 Windows XPとWindows Server 2003のヘルプ機能である「ヘルプとサポート センター」において、Webページ内のリンクからヘルプ機能を起動可能にするHCPプロトコルの入力検証方法に脆弱性がある。攻撃者が用意したWebページ内の不正なHCPリンクをユーザーがクリックし、さらにいくつかの操作(表示されたダイアログ・ボックスで[OK]ボタンをクリックするなど)をユーザーが行うと、攻撃者によるリモートからのプログラムのインストール、データの表示/変更/削除、完全な特権を持つ新規アカウントの作成など、あらゆる操作が可能になる。

 HCPプロトコルは、Webページ内のURLリンクから「ヘルプとサポート センター」の機能を起動可能にするものである。プレフィックスとして「hcp://」を付けたリンクをユーザーがクリックすると、対応する「ヘルプとサポート センター」の機能が起動される。例えばWindows XP で、HCP URLとして「hcp://system/sysinfo/msinfo.htm」をIEのアドレス・バーに入力してEnterキーを押すと、次のように「ヘルプとサポート センター」が起動され、内部で「システム情報(msinfo32.exe)」が実行される。

HCPプロトコルを利用して「ヘルプとサポート センター」を起動したところ
Windows XPのIEのアドレス・バーで「hcp://system/sysinfo/msinfo.htm」と入力して「ヘルプとサポート センター」を利用してシステム情報を起動させる。このようにHCPを使えば、Webページ内のリンクから「ヘルプとサポート センター」の機能を起動できるようになる。

 このHCP URLを解釈する部分に脆弱性があり、不正なHCP URLがIE(Internet Explorer)に送られることにより攻撃が可能になる。

 ただし攻撃を成功させるには、ユーザーは複数のステップからなる操作を行う必要がある。攻撃者は、攻撃用のHCP URLを含むWebページをサイトに準備し、その攻撃用サイトにユーザーを誘導するか、攻撃用のHCPリンクを含むHTMLメールをユーザーに送る。そこで攻撃用HCP URLをユーザーがクリックすると、ユーザーのコンピュータ上で、不正なHCP URLによりIEが起動される。引き続き表示される確認用ダイアログなどをユーザーが操作してしまうと、攻撃が実行される。

攻撃のステップ
MS04-015の脆弱性を悪用した攻撃は、複数のステップを実行しなければならない。ここでは攻撃用サイトへの誘導を例にとったが、攻撃用HCPリンクを含むHTMLメールを送り、これをクリックさせる方法もある。
  WebページかHTMLメールによってユーザーを攻撃用Webサイトに誘導し、そこで不正なHCPリンクをクリックさせる。
  ユーザー・コンピュータ側で不正なHCPリンクを元にIEが起動される。
  確認用ダイアログなどの操作メッセージが表示される。
  メッセージに応じてユーザーが操作してしまうと攻撃が実行される。

対象プラットフォーム

 今回報告されたセキュリティ・ホールの影響を受ける環境は以下のとおり。マイクロソフトから公開された修正プログラムを適用するには、以下の「対象プラットフォーム」に示したService Packの適用が必要である。

影響を受けるソフトウェア 対象プラットフォーム
Windows XP Windows XP SP未適用/SP1/SP1a
Windows Server 2003 Windows Server 2003

修正プログラム適用時の注意

■修正プログラム適用による仕様変更
 マイクロソフトの説明によれば、MS04-015の修正プログラム適用により、次の2つの仕様が変更になるという。

  1. 新しいハードウェアの検出ウィザードの挙動
     新しいハードウェアの検出ウィザードの実行後、情報(ハードウェア・プロファイル)をマイクロソフトに送信するための確認メッセージが表示される場合があった。今回の修正プログラムを適用すると、この機能が削除される。

  2. Windows XPのDVDデコーダをアップグレードする機能
     Windows XPでは、DVDデコーダを自動アップグレードする機能があるが、今回の修正プログラムを適用すると、この機能は削除される。

■Help and Supportサービスが無効だと正しく適用できない
 今回の修正プログラムを正しく適用するには、適用時にHCPプロトコル用サービス(「Help and Support」サービス)が有効になっている必要がある(サービスの「スタートアップの種類」が「無効」になっていなければ、「停止」状態でも正しく適用可能)。

一時的な脆弱性の回避方法

 修正プログラムをすぐに適用できない場合は、HCPプロトコルの登録をレジストリ・キーから削除することで、一時的に脆弱性を回避できる。

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

 具体的にはレジストリ・エディタを起動し、HKEY_CLASSES_ROOT\HCPを削除すればよい。ただし、このレジストリ・キーを削除すると、[コントロール パネル]の[ヘルプ]−[ヘルプとサポート センター]メニューなどが機能しなくなるので注意すること。

 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間