マイクロソフトなどは2010年8月24日、Windowsで動作するアプリケーションに対する新しい攻撃手法が確認されたとして注意を呼びかけた。脆弱(ぜいじゃく)性のあるアプリケーションでは、無害のデータファイルを開くだけで、ウイルスに感染する恐れなどがある。影響を受けるのはマイクロソフト製品に限らない。具体的な製品名は明らかにされていないが、多数のアプリケーションが影響を受けると考えられる。
アプリケーションの一部には、外部のライブラリー(DLL)の読み込み(ロード)に脆弱性があることが知られている。この脆弱性のあるアプリケーションでは、読み込むDLLの場所(パス)をきちんと指定していないため、正規のDLLの代わりに、攻撃者が用意した悪質なDLL(ウイルスなど)を読み込んで実行する危険性がある。
この脆弱性は以前から知られており、悪用した攻撃は「DLLのプリロード攻撃(DLL Preloading Attack)」や「バイナリーの植え付け攻撃(Binary Planting Attack)」などと呼ばれている。
この攻撃を実施するには、悪質なDLLを攻撃対象のコンピューターにあらかじめ送り込む必要がある。加えて、送り込む場所も決まっているため、攻撃を成功させるのはそれほど容易ではなかった。
ところが、今回明らかになった攻撃手法を用いれば、リモート(別のコンピューター)に置いた悪質なDLLを実行させることが可能だという。例えば、ファイル共有経由での攻撃が可能になる。攻撃者は、無害のデータファイルと、悪質なDLLをファイルサーバーに置いておく。前述の脆弱性があるアプリケーションを使ってユーザーがこのデータファイルを開くと、悪質なDLLも勝手に読み込まれて実行される。
セキュリティ研究者のHDムーア氏などによれば、ファイル共有だけではなく、WebDAV経由やUSBメモリー経由での攻撃も可能だという。つまり、WebサーバーやUSBメモリーに置かれた無害なファイルを開くだけでも、ウイルスに感染する危険性がある。
影響を受けるのは、マイクロソフト製品に限らない。別のメーカーの製品でも、Windows上で動作するアプリケーションなら影響を受ける恐れがある。セキュリティ研究者やセキュリティ企業の一部は、影響を受けるアプリケーションの名前をいくつか挙げているが、それらのメーカーは影響の有無について公表していない。マイクロソフトでは、自社製品が影響を受けるかどうか調査しているところだという。
対策は、それぞれのアプリケーションにおいて、脆弱性を解消するためのパッチや修正版を適用すること。しかしながら現時点では、どのアプリケーションが影響を受けるのかほとんど明らかにされていない。HDムーア氏は、およそ40件のアプリケーションが影響を受けることを確認しているという。
パッチや修正版が提供されるまでの回避策としてマイクロソフトでは、リモートからのDLLの読み込みを無効にすることや、WebDAV(Webクライアントサービス)を無効にすることなどを勧めている。無効にする具体的な手順は、マイクロソフトが公開するセキュリティアドバイザリの「回避策」の項に記載されている。
