パスワードを忘れた? アカウント作成
240789 story
セキュリティ

Windows の全バージョンに危険な脆弱性が見つかる 64

ストーリー by reo
おおこわい 部門より

あるAnonymous Coward 曰く、

USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568RBB TODAY の記事エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。

この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名されているとのこと。使われた証明書は Realtek Semiconductor 社の証明書の他、JMicron Technology 社の証明書も使われている (エフセキュアブログの記事 その 2その 3) 。

この脆弱性の回避方法としてはショートカットアイコンの表示を無効にする、WebClient サービスを無効にする、LNK と PIF ファイルのダウンロードを禁止すれば良いとのこと。修正プログラムはまだ Microsoft から提供されていないが、簡単に回避する方法として Fix it が提供されている。ただし、これを適用すると多くのアイコンが真っ白になってしまうため注意 (窓の杜の記事) 。

Windows 2000 や XP SP2 でもこの脆弱性の影響を受けるが、修正される見通しは無いとのこと (ITmedia News の記事) 。LACのサイバーリスク総合研究所によって、感染デモの動画が公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by gota (40161) on 2010年07月26日 13時20分 (#1800344)

    標的とされているSCADA "Siemens WinCC"は中国でかなりのシェアを持っているはずなので、
    近いうちに大変な数のシステムが危険にさらされる事になるでしょう。
    産業用システムでは不具合を避ける為アップデートをしないことも多い上に、
    工場にはコンピュータの技術者が居ないことも多いので、迅速な対応は難しいと思われます。

    security-jounral の記事にあるようなスパイ活動だけならまだいいんだけど、
    工場のシステム乗っ取られるようになったら怖いな。

    「工場の命が惜しければ金を振り込むんだ!」
    人質取るより確実な気がする…

  • いいまわし (スコア:3, 参考になる)

    by acc (36768) on 2010年07月26日 13時12分 (#1800337)

    「危険な脆弱性」という表現に気持ち悪さを感じる。

    脆く傷つきやすいってのは、本質的に危険なんじゃないだろうか。

  • by Anonymous Coward on 2010年07月26日 15時53分 (#1800411)

    CVE-2010-2568: LNK file automatically executes code in Control Panel shortcuts
    http://blogs.quickheal.com/index.php?/archives/166-CVE-2010-2568-LNK-f... [quickheal.com]
    >For Control Panel shortcuts Explorer.exe loads CPI and then calls exported CPlApplet function, which is the key to turn LNK file into an auto executable.

    CVE-2010-2568 Lnk shorcut
    http://www.ivanlef0u.tuxfamily.org/?p=411 [tuxfamily.org]
    実行ファイルあり

  • by sumeshi0206 (12305) on 2010年07月26日 14時13分 (#1800374) 日記

    全バージョンに脆弱性があるけど、XP3以降は修正パッチがそのうち配られるってこと?

    やはりWindows一辺倒の世界は恐竜時代みたいなもんだね

    • Re:全バージョン (スコア:4, すばらしい洞察)

      by kousokubus (37099) on 2010年07月26日 14時34分 (#1800382)

      まあそうは言うものの、なんちゃらΣシステムみたいな独自のOS載っけて脆弱性見つかってもどうしようもなかったりするから、保守サポート的にも巨大企業の製品入れたくなるのは仕方がない。
      監視する目と叩く手は多い方が良いってのは、Microsoftでも同じじゃないかなあ。
      # ITRONもそうだけど、ある分野で寡占化が進むの自体は仕方ない気がする。

      親コメント
    • by Anonymous Coward

      Windows以外なら10年前のOSの修正パッチ無償で出すこと保障してくれるんだろうか

        • Re:全バージョン (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2010年07月26日 23時54分 (#1800611)
          まてまて。サーバー用OSではその位あたりまえだろう。

          Linux?あれはサーバー用じゃないから。

          MacOS X Server?Apple製品は生ものだから。
          親コメント
      • by Anonymous Coward

        一辺倒でなければ「Windows の全バージョンが影響を受ける=パソコンの大半が影響を受ける」とはならなかったってこと。

        • Re:全バージョン (スコア:3, すばらしい洞察)

          by Anonymous Coward on 2010年07月26日 18時17分 (#1800462)

          しかしだな、プラットフォームの共通化は悲願だったのだよ。
          いくつもの環境が乱立していた頃を知らないければ、想像もできないだろうが。

          親コメント
          • by Anonymous Coward

            ※ただしガラパゴスに限る
            海外はMS-DOSの時代からPC/AT互換機一本だったじゃん。
            そもそもガラパゴス種なんて一見多様に見えても外来種との生存競争にさらされたらあっという間に絶滅する程度の代物で、「種の多様性を確保したほうが環境の変化に強い」という例として持ち出すには無理ありすぎ。

        • by Anonymous Coward
          「Windows の全バージョンが影響を受ける≒パソコンの大半が影響を受ける」ではありますね。
          • by Anonymous Coward
            「大半」って言葉が充分な曖昧さを含んでいるのに
            さらに「≒」として曖昧さの表現を足すことに意味があるんですか?
            冗長なだけだと思いますけど
  • by Anonymous Coward on 2010年07月26日 13時29分 (#1800351)
    この問題はメール添付のファイルも影響を受けるのでしょうか? 症状だけを見るに、Thunderbirdなどの添付ファイル表示実装なんかも 危ないと思いますが、どなたか検証された方はいらっしゃいます? もし発症するとなるとうかつにSPAMを確認できない事態になるのかなと。
    • by Anonymous Coward on 2010年07月26日 21時33分 (#1800565)
      脆弱性の情報を個別に見ると、ショートカット全般が危険に見えるね。
      メールに添付されたアーカイブに含まれる.lnkや.pifのアイコンが表示された瞬間に即終了という自体が起こりうる。
      ただ、各ニュースはあくまでもUSBメモリ経由での感染ばかり報道してるんだよね。セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・

      いずれにしても穴が塞がれるまで外部から来る.lnkや.pifはすべてブロックが基本。

      > Thunderbirdなどの添付ファイル表示実装なんかも危ないと思います

      あいにくThunderbirdは使っていないが、関連付けられているアイコンを表示するだけなら無害だよ。もしUSBメモリ経由で該当するショートカットアイコンがインストールされていればトリガーになりうるかもしれないけど、その場合は既にシステムを乗っ取られているとみなしていいと思う。
      親コメント
      • by Ryo.F (3896) on 2010年07月26日 22時05分 (#1800579) 日記

        セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・

        「WebClient サービスを無効」とか言っているので、WebDAV(TCP/80とかTCP/443)でも可能は可能なんだろうね。

        親コメント
        • by fireboat (36349) on 2010年07月27日 2時55分 (#1800646) 日記
          metasploitの実証コードだと、http://example.com/みたいなURLをIEで踏むだけで攻撃発動するようになってるよ。
          (悪意あるサーバ側ではそこからUNC形式のパスにリダイレクトさせるようにしておく→IEが親切にもWebDAV等でのアクセスに自動切り替え→攻撃発動)

          攻撃手法としては、むしろこっちの方が流行ると思う。
          親コメント
    • by greentea (17971) on 2010年07月26日 23時55分 (#1800612) 日記

      それもですし、zipファイルを解凍してフォルダ開いたら...というのもありえそうですし。。
      絶対パスが必要か、相対パスでもいけるか、そのへん、どうなのでしょ。

      たとえ絶対パスでも、ユーザ名がOwnerで、展開先はデスクトップだったり、Tempフォルダだったりすることが多い気がしますが。

      --
      1を聞いて0を知れ!
      親コメント
  • by s02222 (20350) on 2010年07月26日 14時40分 (#1800385)
    これって仕組み的に、ウィルスチェッカの類でダウンロードなり読み込みなりを阻止できるんだろうか?

    出来るのなら、この手のストーリーやら2ちゃんのスレやらに、「当社のセキュリティソフトは今朝のアップデートでこの問題に対応しました!」って公式発表を書き込むマーケティングって成立しないかな?

    我が家で使ってるソフトの公式ページにはこの脆弱性の情報はまだ載ってなかった。 「セキュリティソフト名 このウィルスの名前」なんてベタな単語での検索結果は罠を仕込むのに最適っぽいから恐くて閲覧できないし。
    • by adeu (2937) on 2010年07月26日 14時58分 (#1800393)
      Symantec Endpoint Protectionは19日以降のdefinition updateで対応していることになっています。
      検体がないので確認はしていませんが。
      SEPはほかにポリシーでUSBメモリキーを使えなくしたりできるんですけど、CD-ROMからアプリケーションを
      インストールできなくなったりかなり副作用も大きいので制限は見合わせています。
      親コメント
    • by Anonymous Coward on 2010年07月27日 9時01分 (#1800679)
      > これって仕組み的に、ウィルスチェッカの類でダウンロードなり読み込みなりを阻止できるんだろうか?
      そもそも今回ターゲットとなったSCADAシステムの場合、システムのレスポンス確保のためウイルスチェッカの類は使用しないのが基本です。なので、ウイルスチェッカの類が対応したとしても、あまり効果が無いというのが正直なところ。
      親コメント
  • by Anonymous Coward on 2010年07月26日 14時58分 (#1800392)
    「使われた証明書は Realtek Semiconductor 社の証明書の他、JMicron Technology 社の証明書も使われている」ということで,両社からの正当なコードの流出も疑われているそうだが,台湾企業からは何でも漏れることを知ってる人は驚きはしない。(特に半導体の設計受託・製造受託企業からは)
    ちなみにRealtekとJMicronはどちらも有名な半導体メーカーなので,下手をしたら両社の半導体のWindows用ドライバの証明書は信用できるか?ドライバにワームが混入していないか?という騒動になりかねない。
  • by Anonymous Coward on 2010年07月26日 18時10分 (#1800461)
    ハンマーで叩いたり、銃で撃ったり、窓から外に投げ捨てるだけでPCが破壊される可能性のある危険な
    脆弱性が見つかった。
    この脆弱性はハードウェアに依存するため、丈夫に作るだけでは回避できない。
    Windowsの全バージョンで影響を受ける。

    #この手のパロディはいくらでも作れそうだ・・・
    • Re:危険な脆弱性 (スコア:5, 参考になる)

      by greentea (17971) on 2010年07月26日 19時57分 (#1800524) 日記

      その脆弱性はMicrosoftはとっくに承知ですよ。
      セキュリティに関する 10 の鉄則 [microsoft.com]は非常によくできた記事ですので、一読しておくことをおすすめします。

      --
      1を聞いて0を知れ!
      親コメント
    • by Anonymous Coward

      Windows PCに限らずこの脆弱性は存在するが、シェアがもっとも大きく、また使用者に
      与えるストレスも大きいため、この脆弱性を突かれる可能性は非常に高い。

      この脆弱性は、防弾ケースに格納する、窓の下にマットレスを敷くなどの対策をとることで
      回避できるかも知れないし、回避できないかも知れない。

      また、熱攻め、水攻めなどにより破壊される脆弱性も見つかっているが、定期的な掃除、
      室温管理、PC使用時の飲み物禁止などにより回避できるかも知れない。

      #暑い。冷却ファンがうるさい。温風を吸い込み、熱風を吐き出してる感じだ。

      • by Anonymous Coward
        用途によってはマジ脆弱性ですが。だからデータセンターという商売が成立するのだし。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...