|
|
世界のセキュリティ・ラボから
セキュリティ情報「MS08-067」に関する遠隔コード実行攻撃が急増
November 22,2008 Posted by Security Intel Analysis Team 米マイクロソフトのセキュリティ情報「MS08-067」は,同社が2008年10月23日に緊急リリースしたセキュリティ更新プログラムで,実在の遠隔コード実行攻撃に悪用される重大なセキュリティ・ホールをふさぐものである(関連記事:米マイクロソフトの緊急セキュリティ情報「MS08-067」について/Windowsに「緊急」の脆弱性,「悪用するワームが出現する恐れ」)。WindowsのServerサービスの不適切なRPC(Remote Procedure Call)処理でコードを実行してしまうこのセキュリティ・ホールを突かれると,程度の差こそあれWindows 2000,同XP,同Server 2003,同Vista,同Server 2008が攻撃対象となる。攻撃がうまくいくと,最終的に攻撃者は遠隔地から狙ったパソコンに悪意あるアプリケーションをこっそりインストールできる。 マイクロソフトは,今回のセキュリティ・ホールがWindowsの各バージョンに与えるリスクを具体的に示す一覧表を発表した。この表を見ると,ユーザー認証を受けずにWindows 2000/XP/Sever 2003でこのセキュリティ・ホールを悪用できることは一目瞭然だ。 初期設定状態のWindows XPはファイアウォールでRPC接続をブロックするため,悪用できない。ただしファイアウォールが無効な場合,あるいはファイアウォールが有効でもファイル/プリンタ共有まで有効になっていると,Windows XPも悪用の対象となる。Windows VistaやWindows Server 2008では,攻撃者はユーザー認証を受けないと今回のセキュリティ・ホールを悪用できない。 現在,このセキュリティ・ホールを悪用するエクスプロイトがいくつか出回っている(関連記事:Windowsの「緊急」脆弱性を突くウイルスが続出,PCを乗っ取られる恐れ)。通常,エクスプロイトでワームを蔓延(まんえん)させるには,確実性の高いエクスプロイトが必要である。今回のセキュリティ・ホールの特性上,Windowsの全バージョンに対して一気にセキュリティ・ホールを突くようなエクスプロイトの作成は困難だ。したがって,公開されたエクスプロイトは特定バージョンのWindowsをターゲットとしている。最初のエクスプロイトで明らかになったのは,繁体字中国版Windowsのセキュリティ・ホールを悪用してクラッシュを引き起こす,単なるコンセプト実証(PoC)でないということだ。エクスプロイトの作者は,この1カ月の間に今回のセキュリティ・ホールを突くより確実な攻撃手法を見つけ出し,さらに安定したエクスプロイトを公開した。この非常に成功率の高いエクスプロイトは,セキュリティ検証ツール「Metasploit Framework」に組み込まれている。同ツールにはさまざまな構成が用意されており,これらの構成を利用すると様々なバージョンのWindowsで今回のセキュリティ・ホールを突くことができる。 今回のセキュリティ・ホールを狙う悪意のあるワーム的なアプリケーションを我々が初めて見つけた際には,その当時出回っていた原始的なエクスプロイトが用いられていた。繁体字中国版Windowsシステムをターゲットとするエクスプロイトだ。しかし,過去24時間で新たなワームが確認されている。この新しいワームはMS08-067を悪用するものだが,Metasploit Frameworkのルーチンを利用してWindowsのうち以下のバージョンを攻撃する。
・Windows 2000(ユニバーサル版) |
