Windows の全バージョンに危険な脆弱性が見つかる 64
おおこわい 部門より
あるAnonymous Coward 曰く、
USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568、RBB TODAY の記事、エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。
この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名されているとのこと。使われた証明書は Realtek Semiconductor 社の証明書の他、JMicron Technology 社の証明書も使われている (エフセキュアブログの記事 その 2、その 3) 。
この脆弱性の回避方法としてはショートカットアイコンの表示を無効にする、WebClient サービスを無効にする、LNK と PIF ファイルのダウンロードを禁止すれば良いとのこと。修正プログラムはまだ Microsoft から提供されていないが、簡単に回避する方法として Fix it が提供されている。ただし、これを適用すると多くのアイコンが真っ白になってしまうため注意 (窓の杜の記事) 。
Windows 2000 や XP SP2 でもこの脆弱性の影響を受けるが、修正される見通しは無いとのこと (ITmedia News の記事) 。LACのサイバーリスク総合研究所によって、感染デモの動画が公開されている。
そのうち中国で爆発的に… (スコア:4, 興味深い)
標的とされているSCADA "Siemens WinCC"は中国でかなりのシェアを持っているはずなので、
近いうちに大変な数のシステムが危険にさらされる事になるでしょう。
産業用システムでは不具合を避ける為アップデートをしないことも多い上に、
工場にはコンピュータの技術者が居ないことも多いので、迅速な対応は難しいと思われます。
security-jounral の記事にあるようなスパイ活動だけならまだいいんだけど、
工場のシステム乗っ取られるようになったら怖いな。
「工場の命が惜しければ金を振り込むんだ!」
人質取るより確実な気がする…
おそらく対策済み (スコア:0)
日本にも危機管理上ああいうのが必要だと思います(棒
Re: (スコア:0)
Re: (スコア:0)
Windows以外の工業用機器の脆弱性が悪用されて攻撃された例ってあるの?
Re:そのうち中国で爆発的に… (スコア:1)
HOSの場合は開発者が自ら仕込んでたからな~
らじゃったのだ
いいまわし (スコア:3, 参考になる)
「危険な脆弱性」という表現に気持ち悪さを感じる。
脆く傷つきやすいってのは、本質的に危険なんじゃないだろうか。
Re:いいまわし (スコア:1)
まじれす (スコア:1, 参考になる)
「脆弱性の深刻度評価」で「危険」にランク付けされる脆弱性って事。
「『危険』レベルの脆弱性」といえばよかったんだろか。
Re:まじれす (スコア:2)
[危険レベル]もちょっとわかりにくいので、
[危険度の高い]と表現した方が良いかと。
Re:いいまわし (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
感感俺俺 (スコア:0)
Re: (スコア:0)
Re:いいまわし (スコア:2, すばらしい洞察)
その場合、スズメバチが襲ってきたケースと見分けが付かなくならない?
Re:いいまわし (スコア:1)
脆弱性の多くはバグではなく、「仕様」だからタチが悪い……
#それは仕様です!
Re: (スコア:0)
攻撃コードが出回っているので注意してください (スコア:3, 参考になる)
CVE-2010-2568: LNK file automatically executes code in Control Panel shortcuts
http://blogs.quickheal.com/index.php?/archives/166-CVE-2010-2568-LNK-f... [quickheal.com]
>For Control Panel shortcuts Explorer.exe loads CPI and then calls exported CPlApplet function, which is the key to turn LNK file into an auto executable.
CVE-2010-2568 Lnk shorcut
http://www.ivanlef0u.tuxfamily.org/?p=411 [tuxfamily.org]
実行ファイルあり
全バージョン (スコア:2)
全バージョンに脆弱性があるけど、XP3以降は修正パッチがそのうち配られるってこと?
やはりWindows一辺倒の世界は恐竜時代みたいなもんだね
Re:全バージョン (スコア:4, すばらしい洞察)
まあそうは言うものの、なんちゃらΣシステムみたいな独自のOS載っけて脆弱性見つかってもどうしようもなかったりするから、保守サポート的にも巨大企業の製品入れたくなるのは仕方がない。
監視する目と叩く手は多い方が良いってのは、Microsoftでも同じじゃないかなあ。
# ITRONもそうだけど、ある分野で寡占化が進むの自体は仕方ない気がする。
体力があればね(Re:全バージョン (スコア:2)
Microsoft並に対応が素早くできるのであればそうなんだろうけれども……
ソースが手元にあるのはOS作ったメーカーだし、よしんばオープンソースでも、導入したユーザーの方が、売ったメーカーよりも素早く対応できるというのは、少し夢見がちなのでは。
今回もFix-itは即座に公開されてるしね。
今回のように「ハナから特定のターゲット (産業制御システム) を攻撃するつもり」であれば、攻撃者の数は汎用OSかどうかとは関係ないので、(チェックしている人が少ない為に)よりハイリスクだと思います。
# 問題が発生する5年後にはプロジェクトは解散してて技術持ってる人はどこにいるか判らなくて責任の所在も不明、なんて、いや都市伝説ですよ?:-P
# 保守はほんと大切。
Re: (スコア:0)
Windows以外なら10年前のOSの修正パッチ無償で出すこと保障してくれるんだろうか
Re:全バージョン (スコア:1)
Re:全バージョン (スコア:1, すばらしい洞察)
Linux?あれはサーバー用じゃないから。
MacOS X Server?Apple製品は生ものだから。
Re: (スコア:0)
一辺倒でなければ「Windows の全バージョンが影響を受ける=パソコンの大半が影響を受ける」とはならなかったってこと。
Re:全バージョン (スコア:3, すばらしい洞察)
しかしだな、プラットフォームの共通化は悲願だったのだよ。
いくつもの環境が乱立していた頃を知らないければ、想像もできないだろうが。
Re: (スコア:0)
※ただしガラパゴスに限る
海外はMS-DOSの時代からPC/AT互換機一本だったじゃん。
そもそもガラパゴス種なんて一見多様に見えても外来種との生存競争にさらされたらあっという間に絶滅する程度の代物で、「種の多様性を確保したほうが環境の変化に強い」という例として持ち出すには無理ありすぎ。
Re: (スコア:0)
Re: (スコア:0)
さらに「≒」として曖昧さの表現を足すことに意味があるんですか?
冗長なだけだと思いますけど
メール添付は? (スコア:1, 興味深い)
Re:メール添付は? (スコア:1, 参考になる)
メールに添付されたアーカイブに含まれる.lnkや.pifのアイコンが表示された瞬間に即終了という自体が起こりうる。
ただ、各ニュースはあくまでもUSBメモリ経由での感染ばかり報道してるんだよね。セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・
いずれにしても穴が塞がれるまで外部から来る.lnkや.pifはすべてブロックが基本。
> Thunderbirdなどの添付ファイル表示実装なんかも危ないと思います
あいにくThunderbirdは使っていないが、関連付けられているアイコンを表示するだけなら無害だよ。もしUSBメモリ経由で該当するショートカットアイコンがインストールされていればトリガーになりうるかもしれないけど、その場合は既にシステムを乗っ取られているとみなしていいと思う。
Re:メール添付は? (スコア:1)
セキュリティゾーンが関わるからUSBメモリ経由が前提なのか、それとも単に攻撃例があるというだけでそっちだけ取り上げているのか・・・
「WebClient サービスを無効」とか言っているので、WebDAV(TCP/80とかTCP/443)でも可能は可能なんだろうね。
Re:メール添付は? (スコア:3, 参考になる)
(悪意あるサーバ側ではそこからUNC形式のパスにリダイレクトさせるようにしておく→IEが親切にもWebDAV等でのアクセスに自動切り替え→攻撃発動)
攻撃手法としては、むしろこっちの方が流行ると思う。
Re:メール添付は? (スコア:1)
それもですし、zipファイルを解凍してフォルダ開いたら...というのもありえそうですし。。
絶対パスが必要か、相対パスでもいけるか、そのへん、どうなのでしょ。
たとえ絶対パスでも、ユーザ名がOwnerで、展開先はデスクトップだったり、Tempフォルダだったりすることが多い気がしますが。
1を聞いて0を知れ!
フィルタリングは可能? (スコア:1)
出来るのなら、この手のストーリーやら2ちゃんのスレやらに、「当社のセキュリティソフトは今朝のアップデートでこの問題に対応しました!」って公式発表を書き込むマーケティングって成立しないかな?
我が家で使ってるソフトの公式ページにはこの脆弱性の情報はまだ載ってなかった。 「セキュリティソフト名 このウィルスの名前」なんてベタな単語での検索結果は罠を仕込むのに最適っぽいから恐くて閲覧できないし。
Re:フィルタリングは可能? (スコア:4, 参考になる)
検体がないので確認はしていませんが。
SEPはほかにポリシーでUSBメモリキーを使えなくしたりできるんですけど、CD-ROMからアプリケーションを
インストールできなくなったりかなり副作用も大きいので制限は見合わせています。
Re:フィルタリングは可能? (スコア:1, 興味深い)
そもそも今回ターゲットとなったSCADAシステムの場合、システムのレスポンス確保のためウイルスチェッカの類は使用しないのが基本です。なので、ウイルスチェッカの類が対応したとしても、あまり効果が無いというのが正直なところ。
台湾企業からは何でも漏れる (スコア:1, 参考になる)
ちなみにRealtekとJMicronはどちらも有名な半導体メーカーなので,下手をしたら両社の半導体のWindows用ドライバの証明書は信用できるか?ドライバにワームが混入していないか?という騒動になりかねない。
Re:台湾企業からは何でも漏れる (スコア:1)
無効として扱えるオプションがあればいいですね。あるのかな。
あと、それ以前に、expire/revoke された証明書がチェックされれば、
この問題の被害はもっと小さくなるはずですが、そこんとこもどうなんでしょう。
今から元記事を見てきますが、ご存知のかたは教えてくださると嬉しいです。
Re:台湾企業からは何でも漏れる (スコア:1)
そういうアヤシゲな証明書を知っているときに
CRLとかOCSPがきちんと運用されていれば問題ないはずなんですけど、どうなっているんでしょう?
Re:台湾企業からは何でも漏れる (スコア:4, 参考になる)
JMicronの証明書は、既に発行者であるVeriSignから廃棄(Revoked)扱い [verisign.com]にされています。
Realtekの証明書は、2010/6/11に有効期限切れ(Expired)を迎えていますが、さらに廃棄(Revoked)扱い発行者であるVeriSignから廃棄(Revoked)扱い [verisign.com]にされています。
Re:台湾企業からは何でも漏れる (スコア:2, 参考になる)
す、すまん。急いでたんで、ヘンテコな日本語に…
その上、検索後のリンクはセッション管理されてるみたいで結果が不明だね。
正しい情報は、VeriSignの証明書検索ページ [verisign.com]の「Search by Common Name」で「Common Name」に「JMicron Technology Corp.」(もしくは「Realtek Semiconductor Corp」)を入力して検索、「Status」に「Revoked」が含まれているものがそれ。
参考 [f-secure.jp]。
危険な脆弱性 (スコア:0)
脆弱性が見つかった。
この脆弱性はハードウェアに依存するため、丈夫に作るだけでは回避できない。
Windowsの全バージョンで影響を受ける。
#この手のパロディはいくらでも作れそうだ・・・
Re:危険な脆弱性 (スコア:5, 参考になる)
その脆弱性はMicrosoftはとっくに承知ですよ。
セキュリティに関する 10 の鉄則 [microsoft.com]は非常によくできた記事ですので、一読しておくことをおすすめします。
1を聞いて0を知れ!
Re: (スコア:0)
Windows PCに限らずこの脆弱性は存在するが、シェアがもっとも大きく、また使用者に
与えるストレスも大きいため、この脆弱性を突かれる可能性は非常に高い。
この脆弱性は、防弾ケースに格納する、窓の下にマットレスを敷くなどの対策をとることで
回避できるかも知れないし、回避できないかも知れない。
また、熱攻め、水攻めなどにより破壊される脆弱性も見つかっているが、定期的な掃除、
室温管理、PC使用時の飲み物禁止などにより回避できるかも知れない。
#暑い。冷却ファンがうるさい。温風を吸い込み、熱風を吐き出してる感じだ。
Re: (スコア:0)
Re: (スコア:0)
「ハンマーで叩いたり、銃で撃ったり、窓から外に投げ捨てるだけでPCが破壊される可能性のある危険な脆弱性」の話だと思いますが。
Re: (スコア:0)
ちゃんと読んでから反応しろよ。
「Windowsのショートカットの脆弱性」は防弾ケースやマットレスで防げるのか?
Re: (スコア:0)
読んでいますがw
>回避できるかも知れないし、回避できないかも知れない。
てちゃんと書いてあるじゃないwそれ以外の脆弱性の話ならオフトピックなんで、よそでやってくれ>AC
Re:危険な脆弱性 (スコア:1)
#1800461からの流れを読んだ上で#1800488を書いて、さらに
>読んでいますがw
なんて書き込んだのだとすれば、「私は読解力のない間抜けです」と表明しているだけなので止めた方が良いかと思います。
Re: (スコア:0)
Re:まだこんなことで騒いでるんだ (スコア:1)
もう、既に MS さんが、FixIt で対応済みですって。
え、アイコンが真っ白になるって?
こまけえこと、気にすんなよ。