マイクロソフトは先週末、ショートカットアイコンをクリックするだけで悪用される可能性がある、新たに発見されたゼロデイ脆弱性に対処するため、セキュリティアドバイザリ2286198をリリースしました。しかし、当初のガイダンスはセキュリティ研究者から疑問視されており、エクスプロイトコードが公開されているため、状況はさらに悪化しています。
Microsoftのアドバイザリによると、「この脆弱性は、Windowsがショートカットを誤って解析し、特別に細工されたショートカットのアイコンが表示されたときに悪意のあるコードが実行される可能性があることに起因しています。」攻撃者はこの欠陥を悪用し、システムを侵害したり、ユーザーの介入なしに悪意のあるコードを実行したりする可能性があります。UACやWindows 7のセキュリティ制御を回避することさえ可能です。
Microsoftは、「この脆弱性は、リムーバブルドライブを介して悪用される可能性が最も高いです。自動再生が無効になっているシステムでは、脆弱性を悪用するには、リムーバブルディスクの影響を受けるフォルダを手動で参照する必要があります。Windows 7システムでは、リムーバブルディスクの自動再生機能は自動的に無効になっています。」と説明しています。
Microsoftは、この脆弱性を修正するためのパッチを(表面上は緊急性を感じつつ)開発中です。ただし、Windows 2000とWindows XP SP2はサポート対象外となっているため、Microsoftからのパッチ提供は期待できません。
Microsoft の回避策は、すべてのショートカットのアイコン表示を無効にし、WebDAV 経由の攻撃を防ぐために WebClient サービスを無効にすることです。これらの回避策の問題点は、Windows オペレーティングシステムに深刻な障害をもたらし、SharePoint に依存している組織では生産性に重大な影響を与える可能性があることです。
Sophosのセキュリティ研究者Chet Wisniewski氏は、ブログ記事でアイコン表示を無効にしたWindowsシステムの様子を紹介しています。Wisniewski氏は、代替の一時的な解決策として、「Windowsの導入環境を管理している場合は、ユーザーが承認されたソフトウェアをどこで実行しているかを把握している可能性が高いでしょう。その場合は、ソフトウェアの実行を許可する場所を定義するGPOを作成するだけで済みます。ネットワーク共有が含まれていない場合は、すべてのアイコンが白紙に変わってしまうという厄介な事態を避けながら、同等のレベルの保護を実現できます」と述べています。
ファイアウォールで不正なトラフィックをブロックし、Windowsデスクトップで最新のマルウェア対策を実行するといった標準的なセキュリティ対策も引き続き適用されます。これらの対策はある程度の保護を提供しますが、現状ではそれだけではこの脅威を防ぐのに十分ではありません。
次の Patch Tuesday までの数週間以内に、このセキュリティ上の懸念に対処するため、Microsoft からアウトオブバンド アップデートが提供されるものと予想しています。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
