米SANS Instituteは米国時間5月23日,Microsoft Outlook 2003に見つかった2つのセキュリティ・ホールを警告した。セキュリティ・ホールの一つを突かれると,メールの本文を開くだけで,本来は実行されないはずのActiveXコントロールやスクリプトなどを実行させられる恐れがある。加えて,攻撃者が指定した場所(パス)に任意のファイルをコピーさせられるセキュリティ・ホールも見つかっている。これらを組み合わせれば,「メールを開いただけで,悪質なプログラムを送り込まれて実行させられる」――といった攻撃が可能となる。
マイクロソフトからはセキュリティ情報やパッチは公開されていない。セキュリティ・ホール自体は発見者の「http-equiv」により,5月10日以降メーリング・リストなどに投稿されている。http-equivによると,回避策はHTMLメールを表示させない設定にすることや,別のメール・クライアントを使うことなど。
Outlook 2003ではセキュリティを考慮して,HTMLメールは「制限付きサイト」ゾーンで開かれるようになっている。このため,メールを開いても,メールに含まれるスクリプトなどが勝手に実行されることはない。しかしながら,Windows Media PlayerなどのOLEオブジェクトをメールに埋め込むと,このセキュリティ設定をバイパスしてスクリプトなどを実行させることが可能となる。これが,今回警告されたセキュリティ・ホールの一つである。
もう一つのセキュリティ・ホールは,予測可能な場所に任意のファイルをコピーさせられるもの。セキュリティ・ホールを突くような細工を施したメールを受け取ったユーザーが,そのメールに対して返信などをしようとすると,メール中に指定された任意のファイルをパソコン中の特定の場所にコピーさせられる。
このセキュリティ・ホールと前述のセキュリティ・ホールを組み合わせれば,悪意があるファイルを送り込んで,なおかつ実行させるような攻撃が可能となる。また,特定の場所に任意のファイルをコピーさせられるセキュリティ・ホールは,別のセキュリティ・ホールや“仕様”と組み合わせて悪用することも可能である。例えば,悪意があるプログラムをコピーさせた上で,そのプログラムを実行させるようなリンクをユーザーにクリックさせれば,そのユーザーのパソコンで悪意があるファイルが動き出すことになる。
セキュリティ・ホールを突く方法などは既に公開されている。これらを突いて感染を広げるようなウイルスは報告されていないが,十分注意したい。
◎参考資料
◆「@RISK: The Consensus Security Vulnerability Alert Vol. 3. Week 20」(SANS Institute)
※現時点(5月24日16時)では,登録者にメールで配信されたのみで,Webでは未公開。近日中に公開される予定。
◆「Microsoft Outlook 2003 Predictable File Location Weakness」(Bugtraq)
◆「Microsoft Outlook 2003 Media File Script Execution Vulnerability」(Bugtraq)
◆「ROCKET SCIENCE: Outllook 2003」(NTBugtraq)
◆「OUTLOOK 2003: OuchLook」(NTBugtraq)
(勝村 幸博=IT Pro)
