-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2010-0016 JPCERT/CC 2010-06-28(初版) 2010-07-14(更新) <<< JPCERT/CC Alert 2010-06-28 >>> Windows のヘルプとサポートセンターの未修正の脆弱性に関する注意喚起 Zero-day Vulnerability in Windows Help and Support Center Protocol https://www.jpcert.or.jp/at/2010/at100016.txt I. 概要 Microsoft 社より、2010年6月11日 Windows XP/2003 に含まれるWindows の ヘルプとサポート センター機能に関する未修正の脆弱性情報が公開されました。 Windows のヘルプとサポート センターには、hcp://ではじまる URI の処理に 脆弱性が存在し、結果としてユーザが特別な細工が施された Web ページを閲覧 した場合に任意のコードが実行される可能性があります。 2010年6月28日、JPCERT/CC では「いわゆるGumblar ウイルス」によるWeb サ イト改ざん攻撃において本脆弱性が使用されていることを確認しました。 今後、本脆弱性を使用した攻撃が拡大する可能性を踏まえ、本注意喚起を発 行いたします。 マイクロソフト セキュリティ アドバイザリ (2219475) Windows のヘルプとサポート センターの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/2219475.mspx II. 対象 対象となる製品とバージョンは以下の通りです。 - Windows XP Service Pack 2 および Windows XP Service Pack 3 - Windows XP Professional x64 Edition Service Pack 2 - Windows Server 2003 Service Pack 2 - Windows Server 2003 x64 Edition Service Pack 2 - Windows Server 2003 with SP2 for Itanium-based Systems 詳細は、マイクロソフト セキュリティ アドバイザリ (2219475)を参照して ください。 III. JPCERT/CCによる検証結果 JPCERT/CC では、公開されている一部の実証コードを検証し、任意のコード が実行されることを確認しました。 【検証環境】 - Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版 IE7 (7.0.5730.13、最新パッチ適用) IE8(8.0.6001.18702、最新パッチ適用) 【検証結果】 上記環境にて実証コードを実行し、任意のコードが実行されることを 確認しました。また、Microsoft 社が提供する軽減策(Microsoft Fix it) の適用後、 実証コードを実行し、任意のコードが実行されないことを確認しました。 また、JPCERT/CCに報告された、「いわゆる Gumblar ウイルス」によるWeb サイト改ざん攻撃において使用されている攻撃コードを検証し、一部の環境に て任意のコードが実行されることを確認しました。 【検証環境】 - Windows XP SP3 (全ての公開済みパッチ適用) および IE7/IE8 の最新版 IE7 (7.0.5730.13、最新パッチ適用) IE8(8.0.6001.18702、最新パッチ適用) 【検証結果】 IE7 環境では任意のコードが実行されることを確認しました。一方、IE8 環 境では、任意のコードは実行されませんでした。これは、攻撃コードが、 Web ブラウザの UserAgent を確認し、IE7 に限定してコードを実行する処理 となっているためで、攻撃者によってコードが変更された場合IE8 でも任意 のコードが実行されます。 *** 更新: 2010年07月14日追記 ************************************* 2010年07月14日に Microsoft 社よりセキュリティ更新プログラムが公開さ れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな くなることを確認しています。 ****************************************************************** IV. 対策 2010年06月28日現在、Microsoft 社より本件に関するセキュリティ更新プロ グラムは公開されておりません。 *** 更新: 2010年07月14日追記 ************************************* Microsoft 社よりセキュリティ更新プログラムが公開されました。 Microsoft Update、Windows Update などを用いて、セキュリティ更新プログ ラムを早急に適用してください。 Microsoft Update https://update.microsoft.com/ Windows Update https://windowsupdate.microsoft.com/ ****************************************************************** V. 軽減策 本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。シ ステムへの影響などを考慮の上、軽減策の適用を検討してください。 ・HCP プロトコルの登録を解除する HCP プロトコルの登録を解除すると、hcp:// を使用するすべてのローカル の正当なヘルプリンクが解除されます。Microsoft 社によると、コントロー ル パネル内のリンクが機能しなくなる可能性があるとのことです。 また、Microsoft 社は本軽減策を自動的に適用するための“Microsoft Fix it”を公開しています。 詳細は、以下のサポート技術情報を参照してください。 マイクロソフト サポート技術情報(2219475) 脆弱性によりヘルプ センターでは、リモートでコードが実行される可能性があります。 http://support.microsoft.com/kb/2219475 *** 更新: 2010年07月14日追記 ************************************* セキュリティ更新プログラムをインストールすることで、以上の軽減策は不 要となります。 ****************************************************************** VI. 参考情報 *** 更新: 2010年07月14日追記 ************************************* MS10-042 ヘルプとサポート センターの脆弱性により、リモートでコードが実行される (2229593) http://www.microsoft.com/japan/technet/security/bulletin/ms10-042.mspx ****************************************************************** JVNVU#578319 Microsoft Windows Help and Support Center に脆弱性 https://jvn.jp/cert/JVNVU578319/index.html IBM Tokyo SOC Report Windows のヘルプとサポート センターの脆弱性を悪用する攻撃 https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ________ 改訂履歴 2010-06-28 初版 2010-07-14 更新プログラムのリリースと再検証結果について追記 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBTD0gLDF9l6Rp7OBIAQiWZwgAgStYGqJsMaHMyykKdMct3EQGIrbYI7ft 4fxn1nqXddAtB5TaW6u0fqYSmtjZ8ct/rCvrtt98qc2mUpAlEkNc2bwyswmDzZie 2o2BXtTHaEpp8ZEM/opfclcVjnGWu6KuEpJlK5lENkBiyS6qI4yPPEdCEhjhp5Dg v1F/8QQqvnBeiai6kIrx7fMDybg+y98qBeX5NDz/qlvwFwvy7V+zQqWY3FwP2btI EJp0sXsMXD3NGZm1G3LiNUcRxhg0pfH+/eHPPU10YlBXKJBIprt0Q9LysDNEO+5c xLI8VYiD1R6M/331my894zg5XOr17OK/bdDKiJrotkYx4jwTAKljNw== =kiDF -----END PGP SIGNATURE-----