最近見つかった脆弱性や攻撃に関するセキュリティブログを紹介する。まず最初は、米マイクロソフトが公表した「Windows XP」および「Windows Server 2003」のカーネルコンポーネントに存在する脆弱性(CVE-2013-5065)について。英ソフォスが、これまで判明している情報をまとめ、ブログで概要を説明している。同脆弱性を狙った攻撃がすでに確認されている。
脆弱性は「NDProxy.sys」ドライバーに関するもので、リモートのコード実行を許可することはないが、特権昇格(EoP)を許してしまうおそれがある。EoPバグはリモートから直接悪用することはできないものの、サイバー犯罪者はドライブバイマルウエアなど従来ながらの攻撃手口にEoPを組み合わせることが可能だ。
EoPとドライブバイマルウエアの組み合わせにより、サイバー犯罪者はブラウザー、PDFリーダー、Flashプレーヤー、Javaランタイムに攻撃を仕掛ける際に、ユーザーの権限を考慮する必要がなくなる。米ファイア・アイは、米アドビシステムズの「Reader」の脆弱性(パッチ公開済み)を狙ったPDFを使用する攻撃において、EoPが悪用されていることを確認している。
マイクロソフトの説明によると、Windowsカーネルの脆弱性を突くことに成功した場合、攻撃者は任意のコードをカーネルモードで実行でき、プログラムのインストール、データの閲覧・変更・削除、すべての管理権を備えたアカウントを新規に作成できるという。
最善の対策は、Windows XPをバージョンアップすること。XPからアップグレードできない環境にあるユーザーには、パッチが公開されるまでの間、マイクロソフトが提案する回避策をとることをソフォスは勧めている。マイクロソフトの回避策では、以下のようにレジストリーエントリーを変更または作成してNDProxy.sysを無効にする。
キー:HKLM\SYSTEM\CurrentControlSet\Services\NDProxy 値:ImagePath タイプ:REG_EXPAND_SZ データ:system32\DRIVERS\null.sys
Null.sysに変更したレジストリー
レジストリーを変更して再起動すると、特権昇格の影響を回避できるようになるが、Windowsの「Telephony API(TAPI)」に依存する一部のサービスが機能しなくなる。TAPI対応の機能としては、リモートアクセスサービス(RAS)やダイヤルアップネットワークのほか、仮想プライベートネットワーク(VPN)などがある。