各位
Windows のヘルプとサポートセンターの未修正の脆弱性に関する注意喚起
Zero-day Vulnerability in Windows Help and Support Center Protocol
https://www.jpcert.or.jp/at/2010/at100016.txt
I. 概要
Microsoft 社より、2010年6月11日 Windows XP/2003 に含まれるWindows のヘルプとサポート センター機能に関する未修正の脆弱性情報が公開されました。Windows のヘルプとサポート センターには、hcp://ではじまる URI の処理に脆弱性が存在し、結果としてユーザが特別な細工が施された Web ページを閲覧した場合に任意のコードが実行される可能性があります。
2010年6月28日、JPCERT/CC では「いわゆるGumblar ウイルス」によるWeb サイト改ざん攻撃において本脆弱性が使用されていることを確認しました。
今後、本脆弱性を使用した攻撃が拡大する可能性を踏まえ、本注意喚起を発行いたします。
マイクロソフト セキュリティ アドバイザリ (2219475)
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx
II. 対象
対象となる製品とバージョンは以下の通りです。
- Windows XP Service Pack 2 および Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
詳細は、マイクロソフト セキュリティ アドバイザリ (2219475)を参照してください。
III. JPCERT/CCによる検証結果
JPCERT/CC では、公開されている一部の実証コードを検証し、任意のコードが実行されることを確認しました。
【検証環境】
- Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版
IE7 (7.0.5730.13、最新パッチ適用)
IE8(8.0.6001.18702、最新パッチ適用)
【検証結果】
上記環境にて実証コードを実行し、任意のコードが実行されることを
確認しました。また、Microsoft 社が提供する軽減策(Microsoft Fix it) の適用後、
実証コードを実行し、任意のコードが実行されないことを確認しました。
また、JPCERT/CCに報告された、「いわゆる Gumblar ウイルス」によるWebサイト改ざん攻撃において使用されている攻撃コードを検証し、一部の環境にて任意のコードが実行されることを確認しました。
【検証環境】
- Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版
IE7 (7.0.5730.13、最新パッチ適用)
IE8(8.0.6001.18702、最新パッチ適用)
【検証結果】
IE7 環境では任意のコードが実行されることを確認しました。一方、IE8 環
境では、任意のコードは実行されませんでした。これは、攻撃コードが、
Web ブラウザの UserAgent を確認し、IE7 に限定してコードを実行する処理
となっているためで、攻撃者によってコードが変更された場合IE8 でも任意
のコードが実行されます。
*** 更新: 2010年07月14日追記 ****************
2010年07月14日に Microsoft 社よりセキュリティ更新プログラムが公開さ
れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな
くなることを確認しています。
**************************************************
IV. 対策
2010年06月28日現在、Microsoft 社より本件に関するセキュリティ更新プログラムは公開されておりません。
*** 更新: 2010年07月14日追記 ****************
Microsoft 社よりセキュリティ更新プログラムが公開されました。
Microsoft Update、Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update
https://update.microsoft.com/
Windows Update
https://windowsupdate.microsoft.com/
**************************************************
V. 軽減策
本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。システムへの影響などを考慮の上、軽減策の適用を検討してください。
・HCP プロトコルの登録を解除する
HCP プロトコルの登録を解除すると、hcp:// を使用するすべてのローカル
の正当なヘルプリンクが解除されます。Microsoft 社によると、コントロー
ル パネル内のリンクが機能しなくなる可能性があるとのことです。
また、Microsoft 社は本軽減策を自動的に適用するための“Microsoft Fixit”を公開しています。 詳細は、以下のサポート技術情報を参照してください。
マイクロソフト サポート技術情報(2219475)
脆弱性によりヘルプ センターでは、リモートでコードが実行される可能性があります。
http://support.microsoft.com/kb/2219475
*** 更新: 2010年07月14日追記 ****************
セキュリティ更新プログラムをインストールすることで、以上の軽減策は不要となります。
**************************************************
VI. 参考情報
*** 更新: 2010年07月14日追記 ****************
MS10-042
ヘルプとサポート センターの脆弱性により、リモートでコードが実行される (2229593)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-042.mspx
**************************************************
JVNVU#578319
Microsoft Windows Help and Support Center に脆弱性
https://jvn.jp/cert/JVNVU578319/index.html
IBM Tokyo SOC Report
Windows のヘルプとサポート センターの脆弱性を悪用する攻撃
https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2010-06-28 初版
2010-07-14 更新プログラムのリリースと再検証結果について追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2010-0016
JPCERT/CC
2010-06-28(初版)
2010-07-14(更新)
JPCERT/CC Alert 2010-06-28
Windows のヘルプとサポートセンターの未修正の脆弱性に関する注意喚起
Zero-day Vulnerability in Windows Help and Support Center Protocol
https://www.jpcert.or.jp/at/2010/at100016.txt
I. 概要
Microsoft 社より、2010年6月11日 Windows XP/2003 に含まれるWindows のヘルプとサポート センター機能に関する未修正の脆弱性情報が公開されました。Windows のヘルプとサポート センターには、hcp://ではじまる URI の処理に脆弱性が存在し、結果としてユーザが特別な細工が施された Web ページを閲覧した場合に任意のコードが実行される可能性があります。
2010年6月28日、JPCERT/CC では「いわゆるGumblar ウイルス」によるWeb サイト改ざん攻撃において本脆弱性が使用されていることを確認しました。
今後、本脆弱性を使用した攻撃が拡大する可能性を踏まえ、本注意喚起を発行いたします。
マイクロソフト セキュリティ アドバイザリ (2219475)
Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx
II. 対象
対象となる製品とバージョンは以下の通りです。
- Windows XP Service Pack 2 および Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
詳細は、マイクロソフト セキュリティ アドバイザリ (2219475)を参照してください。
III. JPCERT/CCによる検証結果
JPCERT/CC では、公開されている一部の実証コードを検証し、任意のコードが実行されることを確認しました。
【検証環境】
- Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版
IE7 (7.0.5730.13、最新パッチ適用)
IE8(8.0.6001.18702、最新パッチ適用)
【検証結果】
上記環境にて実証コードを実行し、任意のコードが実行されることを
確認しました。また、Microsoft 社が提供する軽減策(Microsoft Fix it) の適用後、
実証コードを実行し、任意のコードが実行されないことを確認しました。
また、JPCERT/CCに報告された、「いわゆる Gumblar ウイルス」によるWebサイト改ざん攻撃において使用されている攻撃コードを検証し、一部の環境にて任意のコードが実行されることを確認しました。
【検証環境】
- Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版
IE7 (7.0.5730.13、最新パッチ適用)
IE8(8.0.6001.18702、最新パッチ適用)
【検証結果】
IE7 環境では任意のコードが実行されることを確認しました。一方、IE8 環
境では、任意のコードは実行されませんでした。これは、攻撃コードが、
Web ブラウザの UserAgent を確認し、IE7 に限定してコードを実行する処理
となっているためで、攻撃者によってコードが変更された場合IE8 でも任意
のコードが実行されます。
*** 更新: 2010年07月14日追記 ****************
2010年07月14日に Microsoft 社よりセキュリティ更新プログラムが公開さ
れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな
くなることを確認しています。
**************************************************
IV. 対策
2010年06月28日現在、Microsoft 社より本件に関するセキュリティ更新プログラムは公開されておりません。
*** 更新: 2010年07月14日追記 ****************
Microsoft 社よりセキュリティ更新プログラムが公開されました。
Microsoft Update、Windows Update などを用いて、セキュリティ更新プログラムを早急に適用してください。
Microsoft Update
https://update.microsoft.com/
Windows Update
https://windowsupdate.microsoft.com/
**************************************************
V. 軽減策
本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。システムへの影響などを考慮の上、軽減策の適用を検討してください。
・HCP プロトコルの登録を解除する
HCP プロトコルの登録を解除すると、hcp:// を使用するすべてのローカル
の正当なヘルプリンクが解除されます。Microsoft 社によると、コントロー
ル パネル内のリンクが機能しなくなる可能性があるとのことです。
また、Microsoft 社は本軽減策を自動的に適用するための“Microsoft Fixit”を公開しています。 詳細は、以下のサポート技術情報を参照してください。
マイクロソフト サポート技術情報(2219475)
脆弱性によりヘルプ センターでは、リモートでコードが実行される可能性があります。
http://support.microsoft.com/kb/2219475
*** 更新: 2010年07月14日追記 ****************
セキュリティ更新プログラムをインストールすることで、以上の軽減策は不要となります。
**************************************************
VI. 参考情報
*** 更新: 2010年07月14日追記 ****************
MS10-042
ヘルプとサポート センターの脆弱性により、リモートでコードが実行される (2229593)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-042.mspx
**************************************************
JVNVU#578319
Microsoft Windows Help and Support Center に脆弱性
https://jvn.jp/cert/JVNVU578319/index.html
IBM Tokyo SOC Report
Windows のヘルプとサポート センターの脆弱性を悪用する攻撃
https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2010-06-28 初版
2010-07-14 更新プログラムのリリースと再検証結果について追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
