Conficker

自動再生 (Autorun) & Excel 0-day

小野寺です 本日、2つのセキュリティ アドバイザリを新たに公開しました。 アドバイザリ 968272 (Excel):  Microsoft Office Excel の脆弱性により、リモートでコードが実行される  http://www.microsoft.com/japan/technet/security/advisory/968272.mspx このアドバイザリでは、Excelの脆弱性が標的型攻撃で悪用され、ユーザーが、特別な細工を施されたファイルを開く事で不正なコードが実行される可能性がある事をお知らせするものです。この脆弱性に対するセキュリティ更新プログラムは、調査・検討中で、現時点では、まだ提供しておりません。 Excel 2007 で、Excel 2003以前のファイル形式 (*.xls等) を開く際に、この脆弱性が悪用される可能性がありますので、以前から提供している MOICE とファイル ブロッカー等を使用する事で今回の脆弱性が悪用される可能性を回避する事ができます。 アドバイザリ 968272 (Autorun):  Windows Autorun (自動実行) 用の更新プログラム  http://www.microsoft.com/japan/technet/security/advisory/967940.mspx このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリ キーを設定する必要があるのですが、レジストリ キーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。 今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。 なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。これらの更新プログラムは、設定が正しく反映され、期待される動作結果となる様にするための更新プログラムです。  

Chills and Thrills at FIRST

Sveika! Hey Steve here, been a while since I posted on the EcoStrat blog. With all the security events that happened during the latter half of 2008, I have been very focused on working with the security update releases and Microsoft Active Protections Program (MAPP). Handle: Cap’n Steve IRL: Steve Adegbite Rank: Senior Security Program …

Chills and Thrills at FIRST Read More »

2009年2月のセキュリティ情報

小野寺です 2009年2月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 4 件 (緊急 2 件、重要 2 件)となります。また、新規に、Internet ExplorerのKillbit設定に関するセキュリティ アドバイザリを公開しています。セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-feb.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-002 (IE):特別な細工が施されたWeb ページを表示すると、リモートでコードが実行される可能性があります。現時点では、脆弱性の詳細は公開されていませんが、最近の流れから早々に解析し、悪用コードとして公開される可能性が考えられます。また、悪用コードが作られた場合、脆弱性悪用指標でもお伝えしているとおり、比較的安定した悪用コードになる可能性が高いと予測しています。 最近のマルウェアの拡散手法としてWeb経由が多いと考えられています、この更新だけではありませんが、早々に適用する事を強くお勧めします。 MS09-003 (Exchange):特別に細工されたメールまたは、通信により、リモートでコードが実行される可能性があります。電子メールでの悪用となると、通常では悪用が行いやすい傾向にあると言えますが、比較的不安定な悪用コードになる可能性があると予測しています。そのため、コード実行されExchange Serverが侵害される可能性より、悪用コードによりExchange Serverが不安定になりサービス拒否攻撃の状態になるケースが多いかもしれません。この脆弱性については、緩和要素がなく、かつ攻撃の経路として電子メールなどを使った外部からの攻撃が容易な事を考えると、早期に適用するべきと考えます。 MS09-004 (SQL):特定のストアドプロシジャーに不正なパラメータを与える事により、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 961040でお知らせしたいた、脆弱性に対処したものとなります。 既にアドバイザリで示された回避策を実施している場合も、更新プログラムの適用を推奨しますが、その場合の回避策の解除手順は、セキュリティ情報に記載しています。 MS09-005 (Visio):特別な細工が施されたファイルをVisioで読み込むことによって、リモートでコードが実行される可能性があります。外部から送られてきたVisioに関するファイルを開かない事である程度回避できますが、人間の注意には限界がありますので、更新プログラムは適用し置いた方が良いでしょう。 セキュリティ アドバイザリ (新規): アドバイザリ (960715):このアドバイザリは、Internet Explorerに、KillbitとよばれるActiveXコントロールの動作禁止設定を行う為の更新プログラムの公開をお知らせしています。 通常はセキュリティ更新プログラムとしてセキュリティ情報と共に公開いたしますが、新規にマイクロソフト製品に関するKillbitを含まないため、セキュリティ情報の公開は行っていません。 今回は、Internet Explorerを使っている利用者がより安全となるよう、他社の脆弱性による影響を緩和させるために行っています。 また、本日よりセキュリティ アドバイザリのフォーマットを見直し、日本語版のみ以下の様な要訳情報を付加しています。Webサイトに寄せられるフィードバックから、一目で概略的な情報が得られるようにしています。しかし、あくまでも概略ですので、関連があると思った場合は、概略に続く詳細情報を呼んでいただきたいと考えています。 お知らせ内容 更新プログラムの公開 更新プログラム サポート技術情報 960715 被害報告 他社製品のため被害報告は掲載していません。 回避策 あり 対応方法 サポート技術情報 960715 で提供している更新プログラムをインストールしてください。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Srizbi  …

2009年2月のセキュリティ情報 Read More »

ISP視点のセキュリティ

小野寺です。 前回紹介した株式会社インターネットイニシアティブ (IIJ) のInternet Infrastructure Review の第2版が公開されたようです。  http://www.iij.ad.jp/development/iir/ MS08-067についてIIJさんのお客様の事例が簡単に紹介されている。また、フォーカスリサーチで、DNSのキャッシュ ポイゾニングについて、非常に丁寧で分かりやすい解説が行われており、一読することをお勧めしたい。 そのほかにも、興味深い内容がまとめられており、ソフトウェアベンダーとは、また違う視点があって読んでいて勉強になります。英語版を作ったら海外でも評価されるのではないかな・・・

Conficker(Downadup)ワームに関するまとめ

小野寺です。 日本国内よりは、海外が主ですが、Conficker (Downadup)について、Microsoft Malware Protection Center (MMPC) Blogで良い記事が出ていたので、抄訳をこちらに掲載しておきます。追記(2009/2/27 Conficker.C の情報を、公開しました) Conficker ワームに関するまとめ マイクロソフトがセキュリティ更新プログラム MS08-067 を公開して以来、私たちは MS08-067の悪用に関する情報、具体的には Conficker ワームに関する情報を、Malware encyclopedia (英語情報) および複数のブログへの投稿で公開しています。 例をここで挙げますと、このブログ(訳注: MMPC Blog)で、マイクロソフトが Conficker ワームについて提供した情報および、このワームが悪用する脆弱性 (この脆弱性については MS08-067 で対策しています) の概要を提供しています。 まず、お客様に Conficker ワームがコンピューターに感染するために悪用する様々な攻撃の方法を、ご理解いただくことが重要であるため、様々な攻撃の方法の概要を説明します。 この分析に基づき、続いて、お客様がお客様自身を保護するために何ができるかについてのガイダンスを提供します。 最も重要なガイダンスとして、マイクロソフト セキュリティ情報 MS08-067 に関連するセキュリティ更新プログラムをまだ適用していない場合、直ちにこれを適用してください。 しかし、このワームは多数の追加の攻撃方法を使用するため、皆さんが、多層防御のアプローチを確立することを支援するための追加情報およびガイダンスを提供します。最後に、「マイクロソフト悪意のあるソフトウェアの削除ツール」を使用してコンピューターからワームを駆除する方法に関する情報およびポインターを提供します。 ここで、このワームの蔓延方法を分析に話を戻します。 現在までのところ、”in the wild”の状態で確認されたものはこのワームの 2 つの変種のみです。 まず 1 番目は Worm:Win32/Conficker.A (英語情報) で、2008 年 11 月 21 日に報告され、MS08-067 …

Conficker(Downadup)ワームに関するまとめ Read More »

2009年1月のワンポイントセキュリティ

小野寺です。 2009年1月のワンポイントセキュリティを公開しました。 2009年1月のワンポイントセキュリティ情報は、過去のワンポイント セキュリティ情報のサイトより、フルサイズ版・縮小版ビデオや音声版ダウンロードファイルでご利用可能です。 最新のワンポイント セキュリティ情報は、今月のワンポイント セキュリティ情報からご視聴いただけます。

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

小野寺です 今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。 セキュリティ情報 (新規):概要情報、展開に関する情報、およびExploitability Indexは、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14の午後に以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-001 (SMB):特別に細工されたSMBパケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年10月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft社内の脆弱性分析を専門に行っているSWIの分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。 悪意のあるソフトウェアの削除ツール (MSRT):今月は、Banload および MS08-067 を悪用する Conficker に対応しています。すでに、報道にも有る通り、MS08-067の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067が適用されていない、企業ネットワーク内で感染PCが一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回MSRTでも、Confickerに対応する事としました。 また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。技術的な詳細については、このブログの Conficker.B に記載してあります。 さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。 企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開http://support.microsoft.com/kb/891716/ 悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。http://www.microsoft.com/japan/security/malwareremove/default.mspx  

Conficker.B

Conficker.B の新亜種 Conficker.B の詳細については、MMPC (Microsoft Malware Protection Center) に掲載していますが、現状日本語情報が無いため、こちらにAnalysisの抄訳を掲載しておきます。原典は、http://www.microsoft.com/security/portal/Entry.aspx?name=Worm%3aWin32%2fConficker.B となります。 技術的な情報 Worm:Win32/Conficker.B は Windows Server サービス (SVCHOST.EXE) の脆弱性を悪用して、ネットワーク上で別のコンピューターを感染させるワームです。 ファイル共有を有効にしている場合、この脆弱性が悪用され、リモートでコードが実行される可能性があります。また、リムーバブル ドライブで蔓延し、管理者パスワードを脆弱にする場合があります。いくつかの重要なシステム サービスやセキュリティ製品が無効になります。   感染 Worm:Win32/Conficker.B は、Windows のシステム フォルダーに <random>.dll の名を使用し、それ自身を隠し DLL ファイルとしてコピーします。悪用に失敗すると、次のフォルダーに同じパラメーターでそれ自身をコピーするよう試行します。   %ProgramFiles%\Internet Explorer%ProgramFiles%\Movie Maker   次のレジストリ エントリを作成して、Windows が起動した際に、ドロップされたコピーを常に実行させます。   値の追加: “<random string>”データ: “rundll32.exe <system folder>\<malware file name>.dll,<malware parameters>”サブキー: HKCU\Software\Microsoft\Windows\CurrentVersion\Run   また、システム ファイル svchost.exe が netsvcs …

Conficker.B Read More »