Microsoft は米国時間 2014年 11月 11日に恒例の修正プログラム公開(Patch Tuesday)を実施しました。この中でも、「Schannel の脆弱性によりリモートでコードが実行される」脆弱性(MS14-066)は深刻度「緊急」と評価されており、トレンドマイクロでも注意喚起いたします。
Schannel とは、Microsoft により Windows への SSL/TLS実装に使われている「セキュアチャネル」と呼ばれるものです。今回確認されている脆弱性は、攻撃者が悪意を持って作成したネットワークパケットを影響あるシステムに送信するだけで攻撃が成立するものです。これは、ユーザによるアクションを必要とせずに乗っ取りを可能にする脆弱性です。このような特徴から、2014年 4月に問題になった OpenSSL の脆弱性「Heartbleed」を彷彿とさせる脆弱性です。
■Windows XP/2003 にも影響
Microsoft の発表でも MS14-066 を悪用している事例はまだ確認していないとされていますが、トレンドマイクロでもこの脆弱性を利用した動きや不正プログラムなどの攻撃は確認していません。しかしながら、2014年 9月に問題となったコマンドシェル bashの脆弱性「Shellshock」が脆弱性公開後まもなく攻撃を確認したように、この脆弱性も短期間のうちに攻撃に利用される危険性が十分考えられます。
この脆弱性は、現在サポートされているすべての Windowsプラットフォームが影響を受けます。この中には、来年 2015年 7月にサポート終了が予定されている Windows Server 2003 も含まれています。また、この脆弱性は 2014年 4月にすでにサポート終了している Windows XP を含むすでにサポート終了している Windowsプラットフォームにも影響があるといわれています。
また、同日に発表されたWindows OLEに関する緊急の脆弱性(MS14-064)については、Windows XPを含むWindows 95以降のすべてのWindowsプラットフォームに影響があるとIBM X-Forceが発表しています。この脆弱性については、PoC(概念実証)コードがトレンドマイクロでもすでに確認されており、またEnhanced Mitigation Experience Toolkit(EMET)、Data Execution Prevention(DEP)、Address Space Layout Randomization (ASLR)などのOS搭載のセキュリティ機能も迂回するエクスプロイトが確認されているため注意が必要です。
これまで、Windows XP に影響のある脆弱性については、サポート終了後も修正プログラムが緊急で公開されたケースがありますが、今回は修正プログラムの提供は行われていません。この脆弱性を利用した攻撃の被害に遭わないためにも、法人のシステム管理者、個人ユーザの皆様には、Microsoft から公開されている修正プログラムを至急適用することをお奨めします。
■トレンドマイクロの対策
トレンドマイクロでは、この脆弱性に対する攻撃からサーバやクライアントを保護するための対策を提供しています。サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のルールを迅速に適用されることを推奨します。
- IPSルール:DSRU-14-035
- DPIルール:1006327 – Microsoft Schannel Remote Code Execution Vulnerability (CVE-2014-6321)
- DPIルール:1006324 – Windows OLE Automation Array Remote Code Execution Vulnerability (CVE-2014-6332)
法人向けネットワークソリューション「Deep Discovery」シリーズでは、組織内のネットワーク監視において今回の「MS14-066 」脆弱性を攻撃する通信の存在を警告することで、組織内に侵入した不正活動の存在にいち早く対処することができます。
トレンドマイクロでは、この脆弱性に関連した動きを継続して監視し、新たな動きが確認され次第トレンドマイクロセキュリティブログにてアップデートいたします。
【更新情報】
2014/11/14 | 15:15 | ・「MS14-064」に関する記述を追加しました |
2014/11/17 | 15:00 | ・「トレンドマイクロの対策」の記述を更新しました |