Hitach Incident Response Team

 11月22日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

Windows 7/Windows Server 2008 R2のSMBのぜい弱性(2009/11/14)

 Windows 7/Windows Server 2008 R2のSMB(server message block)に,サービス不能につながるぜい弱性が報告されています。この問題は,10月に「MS09-050:SMBv2のぜい弱性」で解決した任意のコード実行につながるぜい弱性とは別の問題で,悪用された場合の影響はサービス不能にとどまります。このぜい弱性の公開に至るまでの経緯は次の通りです。

11月8日:発見者,マイクロソフトに連絡
11月11日:発見者,メーリングリストならびにブログにWindows 7とServer 2008R2のSMBに関するぜい弱性の検証コードを掲載
11月12日:ISC(Internet Storm Center),掲載されたSMBのぜい弱性をハンドラーズ・ダイアリーで取り上げる
11月13日:マイクロソフト,「セキュリティ・アドバイザリ(977544):SMB のぜい弱性」において,新たに報告されたぜい弱性を調査中であることを報告する。

 このぜい弱性についてはマイクロソフトが対応中であることから,セキュリティ・アップデートがリリースされるまでは,ファイアウォールでポート番号139/TCPおよび445/TCPをブロックする回避策の導入を検討してください。

[参考情報]

Cyber Security Bulletin SB09-320(2009/11/16)

 11月9日の週に報告されたぜい弱性の中からSSL/TLSプロトコルのぜい弱性とOpenSSLを取り上げます(Vulnerability Summary for the Week of November 9, 2009)。

■SSL/TLSプロトコルのぜい弱性(2009/11/04)

 SSL(secure sockets layer)およびTLS(transport layer security)の再ネゴシエーション処理にぜい弱性(CVE-2009-3555)が報告されています。この問題は,SSL/TLSクライアントとSSL/TLSサーバーの通信を中継可能な第三者が,特定の条件において通信データの先頭に任意のデータを挿入できるという問題です。

 通信を中継しながら,その通信に介入する手法を中間者攻撃(man-in-the-middle attack)と呼びます。確認されている攻撃シナリオは中間者攻撃を使った手法で,HTTPSクライアントとサーバー間のSSL/TLS通信に介入し,攻撃者PCから送付されたHTTP要求(図1の1)と,HTTPSクライアントから送付されたHTTP要求(図1の2)とをHTTPSサーバー上で連結させることで,一つのHTTP要求を構成するという手法です。シナリオでは,攻撃者PCとHTTPSサーバー間のTLS通信を使って再ネゴシエーション処理が行われるため,攻撃者PCとHTTPSサーバー間のTLS通信(図1の1)と,HTTPSクライアントとサーバー間のTLS通信(図1の2)がHTTPSサーバーからは一連のTLS通信に見えてしまう問題を利用しています。

 なお,再ネゴシエーション処理のトリガーとしては,クライアント証明書ベースの認証の際に証明書の再確認が必要な場合,サーバーから暗号通信に関する条件の変更要求があった場合,クライアントからの変更要求があった場合の3種類があります。

図1●SSL/TLSプロトコルのぜい弱性を利用した中間者攻撃のシナリオ
[画像のクリックで拡大表示]

 写真1は,発見者が実験で取得したパケット・キャプチャ・データの一部をWiresharkで表示した通信フローです。パケット番号13のApplication Data(1)は攻撃者から送付されたHTTP要求で,末尾に終端を示すデータを含んでいません。このため,パケット番号31のApplication Data(2)に含まれるHTTPSクライアントから送付されたHTTP要求が継続データとなり,二つのHTTP要求は,HTTPSサーバー上で連結され一つのHTTP要求として構成されることになります。

 このほかにも,電子メールの通信プロトコルであるSMTP(simple mail transfer protocol)クライアントとサーバー間のSSL/TLS通信に介入する攻撃シナリオが報告されています。

写真1●発見者が実験で取得したパケット・キャプチャ・データの例
[画像のクリックで拡大表示]

[参考情報]