「Microsoft Zero-Day: Malformed Shortcut Vulnerability」より
July 19,2010 Posted by Rahul Kashyap
米マイクロソフトは2010年7月19日(米国時間)、7月16日公開のセキュリティホール情報を更新した。それによると、修正パッチを提供するための作業に取り組んでいるという。ただし、このセキュリティホールを悪用するマルウエアがすでに出回っている。そこで当社(米マカフィー)の研究機関は7月第3週の週末にこの問題を追跡し、調査結果を簡単なQ&Aとしてまとめた(関連記事:Windowsのゼロデイ攻撃を実行するウイルス見つかる、現在も修正パッチの提供なし/「文書ファイルを開くだけでも被害」――Windowsのゼロデイ脆弱性)。
(1)ショートカットファイルにまつわる問題とその悪用方法
ショートカット(.lnk)ファイルの解析処理には、設計段階でセキュリティホールが生じてしまった。当社の研究者は、これを悪用するマルウエアを分析したことがある。問題の原因は、Windowsのシェルコンポーネントが、ショートカットからリンク先アプリケーションへと渡される引数を検証しないことにある。ユーザーが何らかの方法で.lnkファイルのアイコンをロードするだけで悪用されてしまう。
(2)今回のマルウエアに攻撃用ペイロード(シェルコード)は必要か?
このセキュリティホールはショートカットファイルの解析処理そのものに起因する問題であるため、攻撃用ペイロード(シェルコード)がなくても悪用できる。ショートカットファイルを攻撃用ファイルにリンクしておけばよい。ただし、攻撃用ファイルを指すパスは、ショートカットファイル内に書き込んでおく必要がある。
(3)攻撃を成功させるための条件
この攻撃は、悪質な実行可能ファイルとリンクさせた攻撃用ショートカットファイルをWindowsのエクスプローラーかInternet Explorer(IE)に解析させれば起動できる。攻撃用ショートカットファイルは、ダブルクリックされなくてもセキュリティホールを突ける。単にショートカットが保存されているフォルダを開いてもらうだけで、Windowsに感染することが可能だ。
(4)このセキュリティホール悪用時によく使われる攻撃手段
USBドライブが最もよく攻撃に使われているようだ。実際に出回っているマルウエアを調べたところ、USBドライブ経由で攻撃を仕掛けていた。SMBプロトコル経由のファイル共有サービスを悪用する手口も多く、イントラネット経由のマルウエア感染拡大につながる。Webサーバー経由でファイル共有するWebDAVも、同じように悪用されやすい。
(5)影響を受けるWindowsの種類
マイクロソフトは「現在サポート対象の全Windowsがこの攻撃の影響を受ける」としている。詳しい情報については、同社のセキュリティ情報で確認してほしい。Windows XP SP2は「影響を受けるWindows」として掲載されていないが、セキュリティホールは未修正のまま放置されるかもしれない(訳注:Windows XP SP2のサポート期間はすでに終了しているため。関連記事:遠隔コード実行対策が4件、Microsoftの7月定例アップデート予告/Windows 2000とXP SP2のサポート終了迫る、「パッチは2010年7月まで」)。
(6)攻撃の広がり具合
このセキュリティホールを突くマルウエアが存在することは、周知の事実だ。当初は限定的な攻撃だったが、セキュリティ検証ツール「Metasploit Framework」で攻撃用モジュールが公開されたところ、WebDAV共有が攻撃手段として使われるようになった。このセキュリティホールに対する攻撃は拡大していくだろう。ウイルス対策ソフトのアップデートを怠らず、常に最新のウイルス定義ファイル(DAT、シグネチャ)を使って対応してほしい。
我々はこのセキュリティホールに関係するマルウエアと攻撃手段を引き続き調査し、新しい情報を随時紹介していく。
Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Microsoft Zero-Day: Malformed Shortcut Vulnerability」でお読みいただけます。
