Microsoftは、DLLプリロードまたはバイナリプランティングと呼ばれる潜在的な脆弱性への対策として、セキュリティアドバイザリを公開しました。この脆弱性は、数百ものサードパーティ製Windowsアプリケーション(Microsoft自身が開発したソフトウェアも含まれる可能性があります)に影響を与えることが判明しています。残念ながら、これはMicrosoftが次回のパッチリリースで修正できるような単純なWindowsの脆弱性ではありません。そのため、この欠陥とそのリスク、そしてシステムを保護するために何ができるかを理解することが重要です。
マイクロソフトのシニアセキュリティレスポンスコミュニケーションマネージャーであるクリストファー・バッド氏は、マイクロソフトセキュリティレスポンスセンターのブログ投稿で、「これは他のマイクロソフトセキュリティアドバイザリとは異なり、マイクロソフト製品の特定の脆弱性について言及しているわけではありません。これは、DLLプリロード攻撃または「バイナリプランティング」攻撃として知られる、よく知られた脆弱性に対する新たなリモート攻撃ベクトルを示唆するセキュリティ研究への対応として、公式ガイダンスを提供するものです」と説明しています。
バイナリープランティングとは何ですか?
Microsoft セキュリティおよび防衛研究ブログの投稿によると、「アプリケーションが完全修飾パス名を指定せずに DLL をロードすると、Windows は定義されたディレクトリ セットを検索して DLL を見つけようとします。…この問題については、アプリケーションの現在のディレクトリが攻撃者が制御するディレクトリに設定されているときに、攻撃者がアプリケーションに LoadLibrary() を実行させることができれば、アプリケーションは攻撃者のコードを実行すると言えば十分でしょう。」
問題はどのくらい大きいのか?
マイクロソフトは、マイクロソフト製品も影響を受けるかどうかを判断するために社内ソフトウェアコードを調査していることを認めているものの、一部の研究者はマイクロソフトがその可能性を軽視していると考えている。nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、「今日の大きな問題は、マイクロソフトのプログラミングアドバイスに従わず、このカテゴリーの攻撃に対して脆弱なサードパーティアプリケーション開発者に関することではありません。重要なのは、マイクロソフト自身のどの製品が脆弱なのかということです」と述べている。
あるセキュリティ企業は、「現時点では、すべての Windows ユーザーが少なくとも 1 つのリモート バイナリ プランティングの脆弱性を通じて攻撃を受ける可能性があると言っても過言ではありません」という厳しい警告を発しています。
この欠陥はどのように悪用されるのでしょうか?
攻撃者が、脆弱なプログラム(外部ライブラリを安全にロードしないプログラム)を使用してユーザーをリモートファイルを開くように誘導した場合、ファイルはリモートロケーションからライブラリの1つをロードしようとする可能性があります。特別に細工された悪意のあるライブラリがリモートロケーションからロードされた場合、攻撃者はリモートの侵入先PC上で悪意のあるコードを実行できる可能性があります。
WebDAVやSMBなどのネットワークファイルシステムは、攻撃者が悪意のあるファイルを提供し、この脆弱性を悪用しようとするリモート攻撃ベクトルを提供します。攻撃が成功すると、攻撃者は現在ログインしているユーザーと同じユーザー権限で脆弱なシステムにアクセスできるようになります。ログインしているユーザーが管理者権限を持っている場合、攻撃者は他の悪意のあるソフトウェアをインストールしたり、データを変更または削除したり、侵害したマシンに対して自由に操作を行ったりすることが可能になります。
こうした攻撃をどうしたら防ぐことができるのでしょうか?
Microsoftは脆弱性を単純に修正することはできませんが、IT管理者が外部ライブラリの読み込み動作を制御し、脅威を軽減するために使用できるツールを開発しました。このツールでは、IT管理者が2つのレジストリキーを設定することで、Windowsが潜在的なバイナリプランティング攻撃にどのように対応するかを変更できます。1つのレジストリキーはシステム全体の動作を設定し、もう1つのレジストリキーはアプリケーションごとにライブラリの読み込み動作を制御します。
nCircleのStormsは、リモート攻撃を軽減するためのより強力なガイダンスを提供しました。「現時点で私たちが得られる最善の軽減策は、境界でSMBをブロックし、Webクライアントサービスを無効にすることです。」
この脆弱性の性質と、関与するソフトウェア開発者の多さを考えると、一夜にして解決できるような修正プログラムや魔法のパッチは存在しないように思われます。IT管理者は、バイナリプランティングがもたらすリスクを評価し、攻撃を防ぐための適切な対策を講じる必要があります。
