時事ネタ

DNSの脆弱性とか、自動更新を止めるワームとか

小野寺です。 DNS の脆弱性について さて、まずはDNS関係から触れたいと思います。7/9 にDNSの脆弱性に対処するために MS08-037 を公開しました。この段階で具体的な攻撃手法は発見者の協力と、世界中のCERT (CERT/CC や JPCERT/CC) を通じたDNSを実装する他のベンダーとの調整により、伏せられてきました。 8月上旬のセキュリティカンファレンスで発見者が発表するという話にはなっていましたが、ひと月間の適用猶予が存在したはずでした・・・・ ですが、この脆弱性の詳細が、事故なのか、意図的なのかはわかりませんが、とあるブログサイトに書かれてしまいました。 その後は、アッと言う間に情報が拡散しています。 自分が使っている普段 DNSサーバーや他の階層のDNSに未対策なものがあれば、この脆弱性が悪用され、DNSから返される IP アドレスが信頼できないものとなります。 これは、正規のURL で不正なサイトに誘導されたり、本来不可能な筈の攻撃を容易にするという問題もありますが、攻撃が行われている事に気づくことが比較的難しいという事も言えます。今日はブログで書いていますが近いうちにもう少し広くアナウンスしようかとも考えています。 今日はまず、自分自身の環境を再度、見直して欲しい!Windows を使っている人は、MS08-037 がクライアントとサーバーの両方に適用されているかを確認。(DNS サーバーの有無に関係なく適用が必要)Windows DNS 以外を使っている人は、その DNS が対策済みなのか、提供元や納品元に確認する必要があります。 Zone Alerm を使っている場合、MS08-037 の適用によりZone Alermの問題が顕在化し、サイトに接続できなくなる等の現象が確認されています。この場合は、チェックポイント 社から提供されている更新を適用する必要があります。 また、この件に特化したわけではありませんが、改めて、自分自身を守る方法を確認することをお勧めしたい。 多くの関係者が利用者の安全の為に動いていますが、利用者自身も安全に使うための最低限の知識を身につけておくことが大切なのだと改めて感じています。  Microsoft Updateを妨害するワームこの DNS の問題の他に、自動更新 (Windows Update) を OFF にする様なワームがまた目に付くようになっています。 最近だと Vundo ファミリー辺りが多い様です。 通常、ウイルス対策ソフトを入れていれば、駆除できている筈ですが、導入していない場合は、 Live Onecare PC Safety 等で、一度検査する事をお勧めします。 自動更新が、OFF になれば、セキュリティセンターが警告して入れますが、対応せずにいるとセキュリティ更新が自動的に適用されなくなります。その場合は、まずはワーム等を駆除、次に設定の回復が必要です。この現象にあたっている場合、自動更新やMicrosoft …

DNSの脆弱性とか、自動更新を止めるワームとか Read More »

WSUS 3.0による更新の配信がブロックされる

小野寺です。 Windows Server Update Services (WSUS) 3.0 および 3.0 SP1を使用して更新プログラムを配布している場合に、配信が正常に行われない可能性があることがわかりました。 この更新にはセキュリティ更新プログラムも含まれるため、本日この件に関して、セキュリティ アドバイザリ 954960 発行しました。   http://www.microsoft.com/technet/security/advisory/954960.mspx (英語)  http://www.microsoft.com/japan/technet/security/advisory/954960.mspx (日本語) 先日アドバイザリ 954474でお知らせしたSCCMの件とはまた別の事象となります。この現象に当たるとWSUS サーバーの以下のログにエラーが確認できるはずです。 %Program Files%\Update Services\Log Files\SoftwareDistribution.log :2008-06-14 02:59:57.642 UTC Error  w3wp.12       ClientImplementation.SyncUpdates       System.ArgumentException: Item has already been added. Key in dictionary: ‘8862’  Key being added: ‘8862’  (省略)2008-06-14 02:59:57.642 UTC Warning       w3wp.12       SoapUtilities.CreateException     ThrowException: actor = http://wsusebc/ClientWebService/client.asmx, ID=c0a7445f-b989-43fa-ac20-11f8ca65fa8c, …

WSUS 3.0による更新の配信がブロックされる Read More »

セキュリティ デベロップメント “ライフサイクル”:裏側と表側

小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの?ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。 そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。 最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。

SMS2003クライアントに更新が展開できない件の更新プログラム提供開始

小野寺です。 セキュリティ アドバイザリ 954474でお伝えしていた、System Center Configuration Manager (SCCM) 2007 から Systems Management Services (SMS) 2003 クライアントへの更新の展開がうまくいかない件ですが、本日この現象に対処するための、更新プログラムを公開しました。 更新プログラムは、サポート技術情報 (954474) から入手可能ですが、これを書いている時点で、技術情報はまだ英語ですが、日本語版の更新プログラムももちろん提供していますので、該当する環境には適用をお願いします。 さて、何故こんなことが起こったかですが、SCCMが更新を展開するためのもととなる情報カタログ (wsusscn2.cab) がありますが、Microsoft Office 2003 SP1 に関して、メタデータと呼ばれる各更新プログラムの素性等々を記載したデータを拡張しました。この拡張により、SCCM 2007側で情報カタログの同期処理がうまくいかないケースがあったわけです。 セキュリティ担当者としては、セキュリティ更新が引き金ではなくてよかったと思う反面、利用者側からみると何が原因でもトラブルが起きたことには変わりはないわけで、再発防止に努めたいですね。 参照:マイクロソフト セキュリティ アドバイザリ (954474)System Center Configuration Manager 2007 によるセキュリティ更新プログラムの展開がブロックされるhttp://www.microsoft.com/japan/technet/security/advisory/954474.mspx System Center Configuration Manager 2007 blocked from deploying security updateshttp://support.microsoft.com/kb/954474/en-us

Windows XP SP3でMS06-069が復活?

小野寺です。 ”Windows XP SP3でMS06-069で復活 (ロールバック)”という話が、幾つか舞い込んできて、耳にしたときは一瞬背筋が寒くなりました・・・確認してみると、色々と誤解があったみたいで、先日の SANS Institute のblogに端を発しているようでが、さらに元を辿ると、MS06-069をWindows XP SP3 に関連して更新したことにあるといえばあります。 5月の定期リリースの時に MS06-069 (Adobe Flash Playerの脆弱性) のセキュリティ情報を更新してたのですが、更新理由は、Windows XP SP3の公開に伴って、MS06-069の「影響を受ける製品」の一覧を更新し、Microsoft UpdateでWindows XP SP3上でも MS06-069が正しく検出できるように変更しました。 SANSの記事は、微妙な書き方ですが、誤解はないのですが、回り回って、「Windows XP SP3 を適用すると昔の MS06-069 が復活する」という話になってしまったみたいですね。 正しくは、Windows XP SP3のパッケージには、MS06-069の更新プログラムに相当するものを含まないため、Windows XP SP3 をPCに新規にインストールした場合等に、他の更新とと一緒に MS06-069 の適用が必要ということです。 Windows XP SP2 で今までセキュリティ更新を適用してきた環境では、Windwos XP SP3を適用しても、MS06-069を再適用する必要ありません。 ちなみに、Windows に含まれているのは、 Flash Version 6 ですが、最新の Flash をインストールしている環境に Windows XP SP3 をインストールしても、Flash …

Windows XP SP3でMS06-069が復活? Read More »

MBSAが久しぶりにバージョンアップ

小野寺です。 MBSA (Microsoft Baseline Security Analizer)が久しぶりにバージョンアップして、2.1となりました。前回、2.01を公開したのが、2006年6月ですから、実に2年ぶりですね・・・ 一応 MBSA を知らない人向けに語弊を恐れず簡単に説明すると、「セキュリティパッチの適用具合と製品の設定を確認するツール」という感じです。 実際には、このツールで確認するのは、名前の通り ‘baseline’ となる最低限のセキュリティだけですので、このツールの検査に合格しても、ビジネス的に十分かどうかはまた別の話です。逆に、このツールで不合格になるような環境は、多くのケースで不適切と言えます。 さて、今回、マイナーバージョンが一つ上がって、2.1 となりましたが、今回の目玉は、Windows Vista と Windwos Server 2008対応です。2.0.1 も Windows Vista の更新プログラムのスキャンはできたのですが、脆弱性レポートなどの幾つかの機能には対応していませんでした。 今回のバージョンアップで、その辺の機能にひと通り対応しています。また、64bit 環境, Windows Embedded, SQL Server 2005 の脆弱性評価にも正式に対応しました。 新機能を列挙すると以下のようなものがあります。 Windows Vista および Windows Server 2008 のサポート 更新されたグラフィカル ユーザー インターフェイス 64-bit プラットフォームのフル サポートおよび 64-bit のプラットフォームおよびコンポーネントに対する脆弱性評価 (VA) チェック Windows XP Embedded プラットフォームのサポート SQL Server …

MBSAが久しぶりにバージョンアップ Read More »

なめ猫スクリーンセーバー&セキュリティ対策キット

小野寺です。 現在、「スキルチャージ プログラム」なるエンジニア向けにスキルアップの為の無償支援をしようという企画を行っています。 その中で、もちろんセキュリティも含まれており、左の画像の、「セキュリティ対策キット」として、セキュリティリンク集とマイクロソフトの情報源、製品情報をひとまとめにしたものを提供しています。 そして、人によっては新しい、人によっては懐かしい「なめ猫」を使ったスクリーンセーバーも用意してみました。このスクリーンセーバーは、RSSを使って、このBlogとセキュリティ情報をお知らせします。ちなみに、毎日、なめ猫があなたのセキュリティ?を占ってくれます。  このほか、OneCareプレゼントや、セキュリティ以外でも面白い企画があるので、興味のある人はぜひ。  http://www.microsoft.com/japan/powerpro/skillcharge/default.mspx          

最近のWeb改ざんとかSQLインジェクションとか

小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。 SQL インジェクション攻撃とその対策http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx 実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。  ;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略) そのほか、特殊記号 (‘ ; –等)がログに残っている場合も同様に注意が必要でしょう。 問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。 最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。 すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。    

Jet Database Engine (Jet) の脆弱性

小野寺です。 Microsoft Jet Database Engine (Jet) に関する脆弱性 Word を通じて悪用された事がわかり現在調査を行っています。今回は、OSとWordのバージョンの組み合わせによって、影響の有無が変化します。 攻撃の入り口となる Word は、以下の通りです。   Microsoft Word 2007 および Microsoft Word 2007 Service Pack 1  Microsoft Word 2003 Service Pack 2 および Service Pack 3  Microsoft Word 2002 Serivce Pack 3  Microsoft Word 2000 Service Pack 3 実際に脆弱性の悪用が可能中のは以下の OS と上記に Word が組み合わされた場合になります。   Windows Server 2003 Service …

Jet Database Engine (Jet) の脆弱性 Read More »

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース)

小野寺です。 先日お知らせした、Excel 2003 でMS08-014 を適用すると、配列数式としてリアル タイム データ ソースを参照するユーザー定義関数を使用すると、誤った値が返されまる現象に対処した、新しい MS08-014 の提供を開始しました。もちろん、Microsoft Update でも配信していますので、自動更新による配信をまつは、windowsupdate.microsoft.com に行くことで以下の新版が、表示されるはずです。  Microsoft Office Excel 2003 セキュリティ更新プログラム: KB943985 v2 新しいバージョンが、すでにインストールされているかは、ファイルバージョンを見るか、インストールした更新の一覧を確認します。1) ファイルバージョンを確認%programfiles%\Microsoft Office\OFFICE11 にある Excel.exe のバージョンを確認します。 2008/03/12 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8206.0)2008/03/20 公開のセキュリティ更新を適用した環境: Excel.exe (ファイルバージョン: 11.0.8211.0) 2) インストールした更新の一覧を確認XP は、「プログラムの追加と削除」で「更新プログラムの表示」を選択、Windows Vista は、「プログラムのアンインストール」から「インストールされた更新プログラムを表示」を選択します。 2008/03/12 公開のセキュリティ更新を適用した環境:   Security Update for Excel 2003 (KB943985): EXCEL2008/03/20 公開のセキュリティ更新を適用した環境:  Security Update for Excel …

Excel 2003の計算結果に違いが出る現象に対処 (MS08-014再リリース) Read More »