Microsoft は、2014年4月26日(米国時間)、「セキュリティアドバイザリ 2963983」を公開しました。このセキュリティアドバイザリは、Internet Explorer(IE)で確認された新たなゼロデイ脆弱性「CVE-2014-1776」について記述しています。
問題の脆弱性は、ユーザが攻撃者の管理下にある Webサイトを訪れると、攻撃者は被害者の PC上でコードをリモートで実行することができるようになります。攻撃は、IE 9 から IE 11 までの 3バージョンにのみ確認されていますが、根本的な不具合は、現在使われているすべての IE のバージョン(IE 6 から IE 11)に存在します。
今回の脆弱性は、パッチが適用されることがない Windows XP に影響を与える最初の脆弱性であるため、多くの PC でしばらくの間パッチが適用されないままになる可能性があります。「TrendLabs(トレンドラボ)」では、以前にWindows XP を使用する危険性は、時間と共に大きくなると警告していました。そして、今回の脆弱性がそれを証明しました。つまりこれは、Windows XP をいまだ使用している何百万のユーザが、決して完全に修正されることのない脆弱性を抱え続けることを意味します。トレンドマイクロでは、「Managing Your Legacy Systems(英語版)」において、Windows XP を守るためのベストプラクティスを紹介しています。
この脆弱性は深刻であるものの、まったく救いがないわけではありません。まず第一に、この脆弱性は、ログインしたユーザと同じ権限でのみコードを実行することができます。つまり、管理者権限を持たないユーザアカウントでは、不正なコードは実行されないため、ある程度危険性は減少します。もちろん、これはユーザアカウントが管理者として設定されていない場合に限ります。
第2 に、Microsoft は、セキュリティアドバイザリにおいていくつかの回避策を提言しています。IE 10 および IE 11 のみの機能ですが、「拡張保護モード」を有効にすることが最も簡単な方法です。これに加え、エクスプロイトコードは、実行に Adobe Flash が必要なため、Flash Player を無効にするか、IE から Flash Player を削除することでも、この脆弱性からの危険性を減少させることができます。
トレンドラボは、この脅威を継続して監視していき、必要に応じて新たな情報を提供していきます。
【更新情報】
| 2014/04/29 | 15:30 |
今回の脆弱性は、パッチが適用されることがない Windows XP に影響を与える最初の脆弱性です。いかなるソフトウェアやオペレーティングシステム(OS)に関わらず、サポートの終了は、企業やユーザを脅威に対してより脆弱な状態にさせます。しかしながら、この問題に対処または緩和できるいくつかの解決法があります。例えば、仮想パッチは、実際のパッチが入手可能になる前に、影響を受けた PC を「仮想的にパッチ」することができるので、従来のパッチ管理による戦略を補完することができます。仮想パッチによるもう 1つの利点は、サポートがされていないアプリケーションも「仮想的にパッチ」できることです。例えば、弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」は、サポート期間終了後でも Windows 2000 の脆弱性をサポートしてきています。
また、注目すべきは、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」も、今回の脆弱性を利用する攻撃を緩和することができるということです。このツールキットは、いくつかのセキュリティ緩和技術によって、ソフトウェアの脆弱性が利用されるのを防ぎます。Microsoft のセキュリティアドバイザリでは以下のように説明しています。
問題の脆弱性を利用した攻撃から保護するために、「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」は、新たな「DPI(Deep Packet Inspection)」を提供しました。同製品をご利用のお客様は、以下のフィルタをただちに適用してください。
また、VMLタグの使用を制限するフィルタも提供しています。同製品をご利用のお客様は、以下のフィルタを適用することが可能です。
上述したように、今回の脆弱性は、「CVE-2014-1776」に指定されています。これは、削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトに IE がアクセスする方法によるものです(「use-after-free(解放済みメモリの使用)」の状態)。脆弱性の利用に成功すると、攻撃者は、現在のユーザのコンテキスト内の任意のコードを実行することができるようになります。 この脅威を緩和するため、Microsoft は、Webページ内のベクトルマークアップ言語(VML)コードの描画を担う “VGX.DLL” のアクセス制御リスト(ACL)の登録を解除するか、変更することを推奨しています。 問題の脆弱性は、被害者が IE を使用し、特別に細工した Webページを開くことで利用されます。ユーザは、特別に細工した Eメールやインスタントメッセージ内のリンクをクリックすることでこれらの Webサイトを開くよう促される可能性があります。これらの不正な Webサイトに埋め込まれた Adobe Flash ファイルは、対象の PC の、脆弱性を利用した不正コードの実行を困難にさせるための機能「Address Space Layout Randomization(アドレス空間レイアウトのランダム化、ASLR)」やセキュリティ機能「Data Execution Prevention(データ実行防止、DEP)」を回避するために利用されます。 上述したように、弊社ではこの脅威からユーザを保護する 2つのフィルタを提供しています。これらのフィルタは、Microsoft からパッチが提供されるまでの間、この脅威を軽減させるだけでなく、Windows XP といったサポートのされていない OS の保護も行います。 ※協力執筆者:Pavithra Hanchagaiah |
| 2014/05/02 | 07:00 |
日本時間 2014年5月2日、Microsoft は今回の脆弱性に対する修正プログラムを緊急リリースしました。 修正プログラムの対象には、サポート終了済みの Windows XP も含められています。 脆弱性修正のため、早急なアップデートを推奨します。 マイクロソフト セキュリティ情報 MS14-021 – Internet Explorer 用のセキュリティ更新プログラム (2965111) トレンドマイクロ製品では、今回の脆弱性を攻撃するファイル(エクスプロイト)を以下の検出名/パターンファイルで検出可能です。
|
| 2014/05/02 | 16:30 |
今回の脅威からさらにユーザを保護するため、弊社は以下のヒューリスティック技術を使用した追加のソリューションを公開しました。
本稿では、Microsoft からの提言に基づき “VGX.DLL” に対する ACL の修正について取り上げました。Microsoft は、セキュリティアドバイザリを修正しました。それに応じて、本稿も修正を行いました。 |
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)