Windows の全バージョンに危険な脆弱性が見つかる

Windows の全バージョンに危険な脆弱性が見つかる 64

ストーリー by reo 2010年07月26日 12時30分
おおこわい部門より

あるAnonymous Coward 曰く、

USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568、RBB TODAY の記事、エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。
この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名されているとのこと。使われた証明書は Realtek Semiconductor 社の証明書の他、JMicron Technology 社の証明書も使われている (エフセキュアブログの記事その 2、その 3) 。
この脆弱性の回避方法としてはショートカットアイコンの表示を無効にする、WebClient サービスを無効にする、LNK と PIF ファイルのダウンロードを禁止すれば良いとのこと。修正プログラムはまだ Microsoft から提供されていないが、簡単に回避する方法として Fix it が提供されている。ただし、これを適用すると多くのアイコンが真っ白になってしまうため注意 (窓の杜の記事) 。
Windows 2000 や XP SP2 でもこの脆弱性の影響を受けるが、修正される見通しは無いとのこと (ITmedia News の記事) 。LACのサイバーリスク総合研究所によって、感染デモの動画が公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索64コメント Log In/Create an Account

そのうち中国で爆発的に… (スコア:4, 興味深い)

by gota (40161) on 2010年07月26日 13時20分 (#1800344)

標的とされているSCADA "Siemens WinCC"は中国でかなりのシェアを持っているはずなので、
近いうちに大変な数のシステムが危険にさらされる事になるでしょう。
産業用システムでは不具合を避ける為アップデートをしないことも多い上に、
工場にはコンピュータの技術者が居ないことも多いので、迅速な対応は難しいと思われます。
security-jounral の記事にあるようなスパイ活動だけならまだいいんだけど、
工場のシステム乗っ取られるようになったら怖いな。
「工場の命が惜しければ金を振り込むんだ！」
人質取るより確実な気がする…
- おそらく対策済み (スコア:0)
  
  by Anonymous Coward
  
  great firewall of Chinaで遮断しまくり
  日本にも危機管理上ああいうのが必要だと思います（棒
- - Re: (スコア:0)
    
    by Anonymous Coward
    
    仮にWindows以外のOSだったとしても、そのOSの脆弱性が攻撃に利用されるだけですよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Windows以外の工業用機器の脆弱性が悪用されて攻撃された例ってあるの？
      - Re:そのうち中国で爆発的に… (スコア:1)
        
        by PEEK (27419) on 2010年07月27日 10時07分 (#1800704) 日記
        
        ＨＯＳの場合は開発者が自ら仕込んでたからな～
        
        --
        らじゃったのだ
        
        シェア
        
        親コメント
いいまわし (スコア:3, 参考になる)

by acc (36768) on 2010年07月26日 13時12分 (#1800337)

「危険な脆弱性」という表現に気持ち悪さを感じる。
脆く傷つきやすいってのは、本質的に危険なんじゃないだろうか。
- Re:いいまわし (スコア:1)
  
  by datdds (17144) on 2010年07月26日 13時25分 (#1800349)
  
  頭痛が痛い的なアレですね
  
  シェア
  
  親コメント
- まじれす (スコア:1, 参考になる)
  
  by Anonymous Coward on 2010年07月26日 13時46分 (#1800358)
  
  「脆弱性の深刻度評価」で「危険」にランク付けされる脆弱性って事。
  「『危険』レベルの脆弱性」といえばよかったんだろか。
  
  シェア
  
  親コメント
  - Re:まじれす (スコア:2)
    
    by gonzo (38147) on 2010年07月26日 13時51分 (#1800364)
    
    [危険レベル]もちょっとわかりにくいので、
    [危険度の高い]と表現した方が良いかと。
    
    シェア
    
    親コメント
- Re:いいまわし (スコア:1)
  
  by sakamoto (8009) on 2010年07月26日 19時11分 (#1800497) 日記
  
  昔の Windows はちょっとなにかする度に再起動していましたが、それって脆弱だけど危険じゃない例かも。ワークグループを変更するだけで再起動とか。
  
  --
  -- 哀れな日本人専用(sorry Japanese only) --
  
  シェア
  
  親コメント
- 感感俺俺 (スコア:0)
  
  by Anonymous Coward
  
  お前がいま感じている感情は精神的疾患の一種だ。しずめる方法は俺が知っている。俺に任せろ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「危険な脆弱性」じゃなくて「危険なバグ」って言えばいいんよ
  - Re:いいまわし (スコア:2, すばらしい洞察)
    
    by Anonymous Coward on 2010年07月26日 15時49分 (#1800409)
    
    その場合、スズメバチが襲ってきたケースと見分けが付かなくならない？
    
    シェア
    
    親コメント
  - Re:いいまわし (スコア:1)
    
    by Sukoya (33993) on 2010年07月26日 15時50分 (#1800410) 日記
    
    脆弱性の多くはバグではなく、「仕様」だからタチが悪い……
    #それは仕様です！
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  「深刻な脆弱性」が一般的な言い回しだと思う。
攻撃コードが出回っているので注意してください (スコア:3, 参考になる)

by Anonymous Coward on 2010年07月26日 15時53分 (#1800411)

CVE-2010-2568: LNK file automatically executes code in Control Panel shortcuts
http://blogs.quickheal.com/index.php?/archives/166-CVE-2010-2568-LNK-f... [quickheal.com]
>For Control Panel shortcuts Explorer.exe loads CPI and then calls exported CPlApplet function, which is the key to turn LNK file into an auto executable.
CVE-2010-2568 Lnk shorcut
http://www.ivanlef0u.tuxfamily.org/?p=411 [tuxfamily.org]
実行ファイルあり
全バージョン (スコア:2)

by sumeshi0206 (12305) on 2010年07月26日 14時13分 (#1800374) 日記

全バージョンに脆弱性があるけど、XP3以降は修正パッチがそのうち配られるってこと？
やはりWindows一辺倒の世界は恐竜時代みたいなもんだね
- Re:全バージョン (スコア:4, すばらしい洞察)
  
  by kousokubus (37099) on 2010年07月26日 14時34分 (#1800382)
  
  まあそうは言うものの、なんちゃらΣシステムみたいな独自のOS載っけて脆弱性見つかってもどうしようもなかったりするから、保守サポート的にも巨大企業の製品入れたくなるのは仕方がない。
  監視する目と叩く手は多い方が良いってのは、Microsoftでも同じじゃないかなあ。
  # ITRONもそうだけど、ある分野で寡占化が進むの自体は仕方ない気がする。
  
  シェア
  
  親コメント
  - - 体力があればね（Re:全バージョン (スコア:2)
      
      by kousokubus (37099) on 2010年07月27日 17時50分 (#1800894)
      
      ソースが手許にあれば独自に対応できますね
      特定用途向けのシステム製品を製造販売しているような場合には
      メーカーの対応を待つよりも独自に調査対応したほうが良いでしょう
      Microsoft並に対応が素早くできるのであればそうなんだろうけれども……
      ソースが手元にあるのはOS作ったメーカーだし、よしんばオープンソースでも、導入したユーザーの方が、売ったメーカーよりも素早く対応できるというのは、少し夢見がちなのでは。
      今回もFix-itは即座に公開されてるしね。
      それ以前に汎用OSよりも攻撃者が少ないぶん脆弱性が見付かるリスクは低いでしょうし
      今回のように「ハナから特定のターゲット (産業制御システム) を攻撃するつもり」であれば、攻撃者の数は汎用OSかどうかとは関係ないので、（チェックしている人が少ない為に）よりハイリスクだと思います。
      # 問題が発生する5年後にはプロジェクトは解散してて技術持ってる人はどこにいるか判らなくて責任の所在も不明、なんて、いや都市伝説ですよ？:-P
      # 保守はほんと大切。
      
      シェア
      
      親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Windows以外なら10年前のOSの修正パッチ無償で出すこと保障してくれるんだろうか
  - Re:全バージョン (スコア:1)
    
    by hideyuki_m (3339) on 2010年07月26日 19時23分 (#1800505)
    
    HP-UXは11i v1を登場させたときから、リリース後最低でも10年間のサポートをお客様に約束し、実践してきました。 [hp.com]
    
    シェア
    
    親コメント
    - Re:全バージョン (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2010年07月26日 23時54分 (#1800611)
      
      まてまて。サーバー用OSではその位あたりまえだろう。
      
      Linux？あれはサーバー用じゃないから。
      
      MacOS X Server？Apple製品は生ものだから。
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一辺倒でなければ「Windows の全バージョンが影響を受ける＝パソコンの大半が影響を受ける」とはならなかったってこと。
    - Re:全バージョン (スコア:3, すばらしい洞察)
      
      by Anonymous Coward on 2010年07月26日 18時17分 (#1800462)
      
      しかしだな、プラットフォームの共通化は悲願だったのだよ。
      いくつもの環境が乱立していた頃を知らないければ、想像もできないだろうが。
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ※ただしガラパゴスに限る
        海外はMS-DOSの時代からPC/AT互換機一本だったじゃん。
        そもそもガラパゴス種なんて一見多様に見えても外来種との生存競争にさらされたらあっという間に絶滅する程度の代物で、「種の多様性を確保したほうが環境の変化に強い」という例として持ち出すには無理ありすぎ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      「Windows の全バージョンが影響を受ける≒パソコンの大半が影響を受ける」ではありますね。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        「大半」って言葉が充分な曖昧さを含んでいるのに
        さらに「≒」として曖昧さの表現を足すことに意味があるんですか？
        冗長なだけだと思いますけど
メール添付は？ (スコア:1, 興味深い)

by Anonymous Coward on 2010年07月26日 13時29分 (#1800351)

この問題はメール添付のファイルも影響を受けるのでしょうか？症状だけを見るに、Thunderbirdなどの添付ファイル表示実装なんかも危ないと思いますが、どなたか検証された方はいらっしゃいます？もし発症するとなるとうかつにSPAMを確認できない事態になるのかなと。
- Re:メール添付は？ (スコア:1, 参考になる)
  
  by Anonymous Coward on 2010年07月26日 21時33分 (#1800565)
  
  脆弱性の情報を個別に見ると、ショートカット全般が危険に見えるね。
  メールに添付されたアーカイブに含まれる.lnkや.pifのアイコンが表示された瞬間に即終了という自体が起こりうる。
  ただ、各ニュースはあくまでもUSBメモリ経由での感染ばかり報道してるんだよね。セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・
  
  いずれにしても穴が塞がれるまで外部から来る.lnkや.pifはすべてブロックが基本。
  
  > Thunderbirdなどの添付ファイル表示実装なんかも危ないと思います
  
  あいにくThunderbirdは使っていないが、関連付けられているアイコンを表示するだけなら無害だよ。もしUSBメモリ経由で該当するショートカットアイコンがインストールされていればトリガーになりうるかもしれないけど、その場合は既にシステムを乗っ取られているとみなしていいと思う。
  
  シェア
  
  親コメント
  - Re:メール添付は？ (スコア:1)
    
    by Ryo.F (3896) on 2010年07月26日 22時05分 (#1800579) 日記
    
    セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・
    「WebClient サービスを無効」とか言っているので、WebDAV(TCP/80とかTCP/443)でも可能は可能なんだろうね。
    
    シェア
    
    親コメント
    - Re:メール添付は？ (スコア:3, 参考になる)
      
      by fireboat (36349) on 2010年07月27日 2時55分 (#1800646) 日記
      
      metasploitの実証コードだと、http://example.com/みたいなURLをIEで踏むだけで攻撃発動するようになってるよ。
      (悪意あるサーバ側ではそこからUNC形式のパスにリダイレクトさせるようにしておく→IEが親切にもWebDAV等でのアクセスに自動切り替え→攻撃発動）
      
      攻撃手法としては、むしろこっちの方が流行ると思う。
      
      シェア
      
      親コメント
- Re:メール添付は？ (スコア:1)
  
  by greentea (17971) on 2010年07月26日 23時55分 (#1800612) 日記
  
  それもですし、zipファイルを解凍してフォルダ開いたら...というのもありえそうですし。。
  絶対パスが必要か、相対パスでもいけるか、そのへん、どうなのでしょ。
  たとえ絶対パスでも、ユーザ名がOwnerで、展開先はデスクトップだったり、Tempフォルダだったりすることが多い気がしますが。
  
  --
  1を聞いて0を知れ!
  
  シェア
  
  親コメント
フィルタリングは可能? (スコア:1)

by s02222 (20350) on 2010年07月26日 14時40分 (#1800385)

これって仕組み的に、ウィルスチェッカの類でダウンロードなり読み込みなりを阻止できるんだろうか?

出来るのなら、この手のストーリーやら2ちゃんのスレやらに、「当社のセキュリティソフトは今朝のアップデートでこの問題に対応しました!」って公式発表を書き込むマーケティングって成立しないかな?

我が家で使ってるソフトの公式ページにはこの脆弱性の情報はまだ載ってなかった。「セキュリティソフト名このウィルスの名前」なんてベタな単語での検索結果は罠を仕込むのに最適っぽいから恐くて閲覧できないし。
- Re:フィルタリングは可能? (スコア:4, 参考になる)
  
  by adeu (2937) on 2010年07月26日 14時58分 (#1800393)
  
  Symantec Endpoint Protectionは19日以降のdefinition updateで対応していることになっています。
  検体がないので確認はしていませんが。
  SEPはほかにポリシーでUSBメモリキーを使えなくしたりできるんですけど、CD-ROMからアプリケーションを
  インストールできなくなったりかなり副作用も大きいので制限は見合わせています。
  
  シェア
  
  親コメント
- Re:フィルタリングは可能? (スコア:1, 興味深い)
  
  by Anonymous Coward on 2010年07月27日 9時01分 (#1800679)
  
  > これって仕組み的に、ウィルスチェッカの類でダウンロードなり読み込みなりを阻止できるんだろうか?
  そもそも今回ターゲットとなったSCADAシステムの場合、システムのレスポンス確保のためウイルスチェッカの類は使用しないのが基本です。なので、ウイルスチェッカの類が対応したとしても、あまり効果が無いというのが正直なところ。
  
  シェア
  
  親コメント
台湾企業からは何でも漏れる (スコア:1, 参考になる)

by Anonymous Coward on 2010年07月26日 14時58分 (#1800392)

「使われた証明書は Realtek Semiconductor 社の証明書の他、JMicron Technology 社の証明書も使われている」ということで，両社からの正当なコードの流出も疑われているそうだが，台湾企業からは何でも漏れることを知ってる人は驚きはしない。（特に半導体の設計受託・製造受託企業からは）
ちなみにRealtekとJMicronはどちらも有名な半導体メーカーなので，下手をしたら両社の半導体のWindows用ドライバの証明書は信用できるか？ドライバにワームが混入していないか？という騒動になりかねない。
- Re:台湾企業からは何でも漏れる (スコア:1)
  
  by deleted user (19654) on 2010年07月26日 15時41分 (#1800405) ホームページ日記
  
  そういうアヤシゲな証明書を知っているときに、自分で選んで
  無効として扱えるオプションがあればいいですね。あるのかな。
  
  あと、それ以前に、expire/revoke された証明書がチェックされれば、
  この問題の被害はもっと小さくなるはずですが、そこんとこもどうなんでしょう。
  
  今から元記事を見てきますが、ご存知のかたは教えてくださると嬉しいです。
  
  シェア
  
  親コメント
  - Re:台湾企業からは何でも漏れる (スコア:1)
    
    by Ryo.F (3896) on 2010年07月26日 22時04分 (#1800577) 日記
    
    そういうアヤシゲな証明書を知っているときに
    CRLとかOCSPがきちんと運用されていれば問題ないはずなんですけど、どうなっているんでしょう？
    
    シェア
    
    親コメント
    - Re:台湾企業からは何でも漏れる (スコア:4, 参考になる)
      
      by Ryo.F (3896) on 2010年07月26日 22時35分 (#1800584) 日記
      
      JMicronの証明書は、既に発行者であるVeriSignから廃棄(Revoked)扱い [verisign.com]にされています。
      Realtekの証明書は、2010/6/11に有効期限切れ(Expired)を迎えていますが、さらに廃棄(Revoked)扱い発行者であるVeriSignから廃棄(Revoked)扱い [verisign.com]にされています。
      
      シェア
      
      親コメント
      - Re:台湾企業からは何でも漏れる (スコア:2, 参考になる)
        
        by Ryo.F (3896) on 2010年07月27日 0時32分 (#1800625) 日記
        
        す、すまん。急いでたんで、ヘンテコな日本語に…
        その上、検索後のリンクはセッション管理されてるみたいで結果が不明だね。
        正しい情報は、VeriSignの証明書検索ページ [verisign.com]の「Search by Common Name」で「Common Name」に「JMicron Technology Corp.」(もしくは「Realtek Semiconductor Corp」)を入力して検索、「Status」に「Revoked」が含まれているものがそれ。
        参考 [f-secure.jp]。
        
        シェア
        
        親コメント
危険な脆弱性 (スコア:0)

by Anonymous Coward on 2010年07月26日 18時10分 (#1800461)

ハンマーで叩いたり、銃で撃ったり、窓から外に投げ捨てるだけでPCが破壊される可能性のある危険な
脆弱性が見つかった。
この脆弱性はハードウェアに依存するため、丈夫に作るだけでは回避できない。
Windowsの全バージョンで影響を受ける。

#この手のパロディはいくらでも作れそうだ・・・
- Re:危険な脆弱性 (スコア:5, 参考になる)
  
  by greentea (17971) on 2010年07月26日 19時57分 (#1800524) 日記
  
  その脆弱性はMicrosoftはとっくに承知ですよ。
  セキュリティに関する 10 の鉄則 [microsoft.com]は非常によくできた記事ですので、一読しておくことをおすすめします。
  
  --
  1を聞いて0を知れ!
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  Windows PCに限らずこの脆弱性は存在するが、シェアがもっとも大きく、また使用者に
  与えるストレスも大きいため、この脆弱性を突かれる可能性は非常に高い。
  この脆弱性は、防弾ケースに格納する、窓の下にマットレスを敷くなどの対策をとることで
  回避できるかも知れないし、回避できないかも知れない。
  また、熱攻め、水攻めなどにより破壊される脆弱性も見つかっているが、定期的な掃除、
  室温管理、PC使用時の飲み物禁止などにより回避できるかも知れない。
  ＃暑い。冷却ファンがうるさい。温風を吸い込み、熱風を吐き出してる感じだ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    用途によってはマジ脆弱性ですが。だからデータセンターという商売が成立するのだし。
  - - Re: (スコア:0)
      
      by Anonymous Coward
      
      「ハンマーで叩いたり、銃で撃ったり、窓から外に投げ捨てるだけでPCが破壊される可能性のある危険な脆弱性」の話だと思いますが。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ちゃんと読んでから反応しろよ。
      「Windowsのショートカットの脆弱性」は防弾ケースやマットレスで防げるのか？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        読んでいますがｗ
        ＞回避できるかも知れないし、回避できないかも知れない。
        てちゃんと書いてあるじゃないｗそれ以外の脆弱性の話ならオフトピックなんで、よそでやってくれ＞AC
        
        Re:危険な脆弱性 (スコア:1)
        
        by digoh (17917) on 2010年07月27日 18時11分 (#1800903) 日記
        
        #1800461からの流れを読んだ上で#1800488を書いて、さらに
        >読んでいますがｗ
        なんて書き込んだのだとすれば、「私は読解力のない間抜けです」と表明しているだけなので止めた方が良いかと思います。
        
        シェア
        
        親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Windowsのお粗末な実装の結果起きたセキュリティホールを、シェアのせいとか一般論化して誤魔化す詭弁も聞き飽きましたよね（笑）。
- - Re:まだこんなことで騒いでるんだ (スコア:1)
    
    by reininn (35924) on 2010年07月27日 17時29分 (#1800886)
    
    いやいや、
    もう、既に MS さんが、FixIt で対応済みですって。
    え、アイコンが真っ白になるって？
    こまけえこと、気にすんなよ。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

そのうち中国で爆発的に… (スコア:4, 興味深い)

おそらく対策済み (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:そのうち中国で爆発的に… (スコア:1)

いいまわし (スコア:3, 参考になる)

Re:いいまわし (スコア:1)

まじれす (スコア:1, 参考になる)

Re:まじれす (スコア:2)

Re:いいまわし (スコア:1)

感感俺俺 (スコア:0)

Re: (スコア:0)

Re:いいまわし (スコア:2, すばらしい洞察)

Re:いいまわし (スコア:1)

Re: (スコア:0)

攻撃コードが出回っているので注意してください (スコア:3, 参考になる)

全バージョン (スコア:2)

Re:全バージョン (スコア:4, すばらしい洞察)

体力があればね（Re:全バージョン (スコア:2)

Re: (スコア:0)

Re:全バージョン (スコア:1)

Re:全バージョン (スコア:1, すばらしい洞察)

Re: (スコア:0)

Re:全バージョン (スコア:3, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

メール添付は？ (スコア:1, 興味深い)

Re:メール添付は？ (スコア:1, 参考になる)

Re:メール添付は？ (スコア:1)

Re:メール添付は？ (スコア:3, 参考になる)

Re:メール添付は？ (スコア:1)

フィルタリングは可能? (スコア:1)

Re:フィルタリングは可能? (スコア:4, 参考になる)

Re:フィルタリングは可能? (スコア:1, 興味深い)

台湾企業からは何でも漏れる (スコア:1, 参考になる)

Re:台湾企業からは何でも漏れる (スコア:1)

Re:台湾企業からは何でも漏れる (スコア:1)

Re:台湾企業からは何でも漏れる (スコア:4, 参考になる)

Re:台湾企業からは何でも漏れる (スコア:2, 参考になる)

危険な脆弱性 (スコア:0)

Re:危険な脆弱性 (スコア:5, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:危険な脆弱性 (スコア:1)

Re: (スコア:0)

Re:まだこんなことで騒いでるんだ (スコア:1)