展開

DNSの脆弱性とか、自動更新を止めるワームとか

小野寺です。 DNS の脆弱性について さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・ ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。 これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。 今日はまず、自分自身の環境を再度、見直して欲しい!Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。 Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。 また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。  Microsoft Updateを妨害するワームこの DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。 自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft …

DNSの脆弱性とか、自動更新を止めるワームとか Read More »

2008年7月のセキュリティリリース

小野寺です 今月は、事前通知でお伝えしていたとおり 計 4 件 (重要 4件)を公開しました。 MS08-037 (DNS): DNS クライアントとサーバー双方に関する脆弱性です。DNSが悪用されると、正しいドメイン名への要求が、不正なサイトのIPアドレスに変換される事で、結果として本来意図しないサイトに誘導される危険があります。とはいえ、この脆弱性を悪用するのは余り容易ではないのですが、特に、DNSサーバー側が侵害されると被害が広範に及ぶ上気づきにくい事も多いため、注意したいとことろです。 MS08-038 (Windows Explorer): Windows エクスプローラに関するものです。Windwos Vista以降のエクスプローラにある、いわゆるデスクトップサーチに関連するのですが、「保存された検索」という検索条件等を保存したファイルがあります。特別な細工をされた「保存された検索を開く事で、コードが実行される可能性があります。リモートでコードが実行される脆弱性ではありますが、悪用には、幾つかの条件とユーザー操作を必要とするため、重要としています。 MS08-039 (OWA): Exchange Server の機能のひとつである Outlook Web Acceess (OWA) に関するものです。 いわゆるクロスサイトの脆弱性になりますので、攻撃を受けるのは、Exchange Server 側ではなく、その利用者側となります。 MS08-040 (SQL): SQL Serverの脆弱性です。基本的には、SQL Server上で適切な権限で特定のDDLや関数を使用する事で、コードの実行や特権の昇格が行えます。SQL Serverの脆弱性というとSQL スラマーを思い出してしましますが、スラマーの予期の様にUDPパケットを一方的に送信する事で悪用できるわけではなく、認証が発生しますので、広範な悪用は想像しにくいですね。今回は、脆弱性よりも運用面で注意をする必要があります。SQL Server 7.0はMicrosoft Updateにも対応しておらず、更新プログラムの適用が手作業で行われいた世代の製品ということもあり、適用漏れが発生しない様に注意が必要な製品となります。特に、アプリケーションの一部として展開されている MSDEは、利用者側も存在を認知していない可能性があり適用漏れの原因になりやすいと言えます。 企業内で、各PCのインストール状況を確認する方法の一つとして、WMI を使った、SQL Server関連のサービスを列挙するという方法があります。 —- スクリプトサンプルSet WMIService = GetObject(“winmgmts:” & “{impersonationLevel=Impersonate}!\\.\root\cimv2”) Set ServicesCollection = WMIService.ExecQuery (“SELECT …

2008年7月のセキュリティリリース Read More »

2008年7月のセキュリティリリース予定

小野寺です。 今月は、計 4 件 (重要 4件) の公開を予定しています。リリース日は、週明け水曜日 (07/09) です。詳しくは、事前通知のサイトをご覧ください。 セキュリティ情報 影響を受ける製品 最大深刻度 影響 検出方法 再起動 SQL Microsoft Windows, SQL Server 重要 特権の昇格 MBSA 必要な場合あり Windows 1 Microsoft Windows 重要 リモートでコードが実行される MBSA 必要 Windows 2 Microsoft Windows 重要 なりすまし MBSA 必要 Exchnage Server Windows Exchange 重要 特権の昇格 MBSA 必要な場合あり それにしても、SQL Server の更新は、久しぶりです。MS03-031が最後のはずですので、実に5年ぶりということになります。あまりにも久しぶりなので、SQL Serverの管理者は、更新の適用方法に関するKBを事前に読んでおきたいですね。 SQL Server 7.0 への更新プログラムの適用方法としてサポートされている方法 …

2008年7月のセキュリティリリース予定 Read More »

WSUS 3.0による更新の配信がブロックされる

小野寺です。 Windows Server Update Services (WSUS) 3.0 および 3.0 SP1を使用して更新プログラムを配布している場合に、配信が正常に行われない可能性があることがわかりました。 この更新にはセキュリティ更新プログラムも含まれるため、本日この件に関して、セキュリティ アドバイザリ 954960 発行しました。   http://www.microsoft.com/technet/security/advisory/954960.mspx (英語)  http://www.microsoft.com/japan/technet/security/advisory/954960.mspx (日本語) 先日アドバイザリ 954474でお知らせしたSCCMの件とはまた別の事象となります。この現象に当たるとWSUS サーバーの以下のログにエラーが確認できるはずです。 %Program Files%\Update Services\Log Files\SoftwareDistribution.log :2008-06-14 02:59:57.642 UTC Error  w3wp.12       ClientImplementation.SyncUpdates       System.ArgumentException: Item has already been added. Key in dictionary: ‘8862’  Key being added: ‘8862’  (省略)2008-06-14 02:59:57.642 UTC Warning       w3wp.12       SoapUtilities.CreateException     ThrowException: actor = http://wsusebc/ClientWebService/client.asmx, ID=c0a7445f-b989-43fa-ac20-11f8ca65fa8c, …

WSUS 3.0による更新の配信がブロックされる Read More »

SMS2003クライアントに更新が展開できない件の更新プログラム提供開始

小野寺です。 セキュリティ アドバイザリ 954474でお伝えしていた、System Center Configuration Manager (SCCM) 2007 から Systems Management Services (SMS) 2003 クライアントへの更新の展開がうまくいかない件ですが、本日この現象に対処するための、更新プログラムを公開しました。 更新プログラムは、サポート技術情報 (954474) から入手可能ですが、これを書いている時点で、技術情報はまだ英語ですが、日本語版の更新プログラムももちろん提供していますので、該当する環境には適用をお願いします。 さて、何故こんなことが起こったかですが、SCCMが更新を展開するためのもととなる情報カタログ (wsusscn2.cab) がありますが、Microsoft Office 2003 SP1 に関して、メタデータと呼ばれる各更新プログラムの素性等々を記載したデータを拡張しました。この拡張により、SCCM 2007側で情報カタログの同期処理がうまくいかないケースがあったわけです。 セキュリティ担当者としては、セキュリティ更新が引き金ではなくてよかったと思う反面、利用者側からみると何が原因でもトラブルが起きたことには変わりはないわけで、再発防止に努めたいですね。 参照:マイクロソフト セキュリティ アドバイザリ (954474)System Center Configuration Manager 2007 によるセキュリティ更新プログラムの展開がブロックされるhttp://www.microsoft.com/japan/technet/security/advisory/954474.mspx System Center Configuration Manager 2007 blocked from deploying security updateshttp://support.microsoft.com/kb/954474/en-us