「MS12-027」に含まれる脆弱性の悪用シナリオ(日本マイクロソフトの資料から引用)
「MS12-027」に含まれる脆弱性の悪用シナリオ(日本マイクロソフトの資料から引用)
[画像のクリックで拡大表示]

 日本マイクロソフトは2012年4月11日、Windowsなどに関するセキュリティ情報を6件公開した。そのうち4件は、最大深刻度(危険度)が最悪の「緊急」。これらに含まれる脆弱性を悪用されると、Webページや文書ファイルを開くだけでウイルスに感染する恐れなどがある。実際、脆弱性を悪用した標的型攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。

 今回公開されたセキュリティ情報の影響を受けるのは、Office 2003/2007/2010、Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2、Internet Explorer(IE) 6/7/8/9、SQL Server 2000/2005/2008/2008 R2、BizTalk Server 2002、Forefront Unified Access Gateway 2010など。

 最大深刻度が「緊急」のセキュリティ情報は以下の4件。

(1)[MS12-023]Internet Explorer用の累積的なセキュリティ更新プログラム (2675157)
(2)[MS12-024]Windowsの脆弱性により、リモートでコードが実行される(2653956)
(3)[MS12-025].NET Frameworkの脆弱性により、リモートでコードが実行される(2671605)
(4)[MS12-027]Windowsコモンコントロールの脆弱性により、リモートでコードが実行される(2664258)

 このうち(4)については、脆弱性を悪用した標的型攻撃が確認されている。この脆弱性は「Windowsコモンコントロール」と呼ばれるActiveXコントロールに関するもの。このActiveXコントロールはMSCOMCTL.OCXというファイルに含まれる。

 MSCOMCTL.OCXは、Windowsに標準で含まれる。また、OfficeやSQL Server、BizTalkなどをインストールすると、それらに含まれるMSCOMCTL.OCXによって、同ファイルが更新される。

 Windowsに最初から含まれているMSCOMCTL.OCXには脆弱性がないが、Officeなどに含まれる同ファイルには今回の脆弱性が含まれる。つまり、Officeなどをインストールしているパソコンのみが影響を受ける。

 この脆弱性を悪用した攻撃方法は2種類考えられる(図)。一つはWeb経由。細工が施されたWebページにアクセスすると問題のActiveXコントロールが呼び出され、脆弱性を突かれる。その結果、ウイルスを勝手に実行される恐れがある。

 もう一つが、Officeの文書ファイル経由。特定のActiveXコントロールが含まれるOffice文書ファイルを開くと、問題のActiveXコントロールが呼び出されて悪用される。

 実際、この脆弱性を悪用するRTFファイルが確認されている。このファイルをWordあるいはWordpadで開くと、ファイルに仕込まれたウイルスが動き出す。

 そのほか(1)についても、現時点では脆弱性の公開や悪用は確認されていないが、30日以内に悪用した攻撃が出現する可能性があるとして、注意を呼びかけている。

 最大深刻度が上から2番目の「重要」に設定されているのは以下の2件。

(5)[MS12-026]Forefront Unified Access Gateway(UAG)の脆弱性により、情報漏えいが起こる(2663860)
(6)[MS12-028]Microsoft Officeの脆弱性により、リモートでコードが実行される(2639185)

 対策はパッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。なお(5)のパッチについては、同社Webサイトでのみ提供する。