ページ内ジャンプ:

スラッシュドット・ジャパン

アレゲなニュースと雑談サイト

ユーザ登録でもっと便利に！

[ アカウントをゲット！ ]

セクション

Slashdot

ストーリー

情報提供

OSDNサイト

Windowsにゼロデイ攻撃を受ける深刻な脆弱性

GetSetによる 2005年12月29日 15時15分の掲載
年賀メールにWMF…は使わないか部門より。

oddmake曰く、"Internet Watchの記事によると、デンマークSecuniaやSANS InstituteがWindows Sever 2003やWindows XPに脆弱性があると警告したという。Windowsメタファイル（WMF形式）の処理に問題があることが原因であり、脆弱性の深刻度は「非常に深刻」であり、既に攻撃コードが出回っているそうだ。
WMF形式の脆弱性は最近2年間で3度パッチがあたっており、一番最近のものは今年11月のMS05-053なのだが、この脆弱性と攻撃コードを分析したKaspersky LabsのShane CoursenがInformation Weekに語ったところによると、同じDLLがターゲットとなるが攻撃方法が違うため、MS05-053では対応できないのだという。パッチができるまで、ファイルを開いたりIEを使う時には慎重になろう。"

この議論は賞味期限が過ぎたので、保存されている。新たにコメントを書くことはできない。

Windowsにゼロデイ攻撃を受ける深刻な脆弱性 | ログイン/アカウントの作成 | 78 個のコメント | コメント検索

たれこみにんですが、本家でも記事になっていました (スコア:5, 参考になる)

oddmake (1445) : 2005年12月29日 15時55分 (#856907) 日記

Exploit Released for Unpatched Windows Flaw [slashdot.org]

REGSVR32 /U SHIMGVW.DLL ってコマンドを叩けば回避できるよ、とか流石にアレゲなコメントがありますね。っていうかどうやって調べたんだ。

--
/.configure;oddmake;oddmake install
- Re:たれこみにんですが、本家でも記事になっていました (スコア:5, 参考になる)
  
  Technical Type (3408) : 2005年12月29日 17時14分 (#856949)
  
  >どうやって調べたんだ。
  マイクロソフトセキュリティアドバイザリ (912840) [microsoft.com]に書いてあります。元ネタはUpdate on Windows WMF 0-day [sans.org]でしょう。ちなみにここには
  Windows XP will detect and process a WMF file based on its content ("magic bytes") and not rely on the extension alone, which means that a WMF sailing in disguise with a different extension might still be able to get you.
  という注意もある。拡張子なんて幾らでも誤魔化せる模様。だからJPCERT 緊急報告の対策 [jpcert.or.jp]は、対策になるのかなって気もします。
  
  親コメント
  - Re:たれこみにんですが、本家でも記事になっていました (スコア:3, 興味深い)
    
    Technical Type (3408) : 2005年12月31日 16時43分 (#857781)
    
    休暇中のWebアクセスに注意，Windowsの脆弱性を突くサイトが“増殖中” [nikkeibp.co.jp]はとても参考になる現時点での最新情報。ご一読あれ。
    
    親コメント
- Re:たれこみにんですが、本家でも記事になっていました (スコア:3, 参考になる)
  
  Anonymous Coward : 2005年12月30日 8時42分 (#857260)
  
  自力で見つけたのなら、調べ方はたぶんこんな感じ。
  Windowsの知識があれば誰でも調べられますよ。
  
  今回の脆弱性は問題が「Windows Picture and Fax Viewer」にあるので、
  その本体が実行されないようにすればとりあえずの対策にはなりそう。
  ↓
  エクスプローラのプレビューで実行されるなら拡張子からたどれば見つかりそう。
  ↓
  マイコンピュータ、ツール、フォルダオプションでWMFファイルの詳細設定で
  ファイルを開くアプリケーションのパスを確認。
  ↓
  C:\WINDOWS\System32\shimgvw.dllが怪しい。
  ↓
  ファイルのプロパティーで説明が「Windows Picture and Fax Viewer」であるのを確認。
  ↓
  本体がDLLファイルなのでregsvr32.exeを使ってシステムへの登録を解除。
  ↓
  適当なWMFファイルを用意してプレビュー、ファイルオープン、IEで<img src=hoge.wmf>ができないことを確認。
  ↓
  Webで公開されているデモが無効になっていることを確認。
  ↓
  念のためセーフモードで起動してshimgvw.dllを空ファイルに置き換え。
  ↓
  周りに伝えるためのメールの文章をまとめていたらSecurity Advisoryが出ているのに気が付いてへこむ。
  気を取り直して日本語訳開始。
  ↓
  日本語訳ができてきたらMicrosoft Japanに日本語のSecurity Advisoryが出ているのに気が付いてもっとへこむ。
  ↓
  こんなのが一年の仕事納めか、とむなしくなる。
  
  なにはともあれ、Windowsを扱うシステム管理者やプログラマなら
  これくらいは自力で見つけられるようにしたいですね。
  
  親コメント
  - 1個のコメントが現在のしきい値以下です。
- Re:たれこみにんですが、本家でも記事になっていました by Anonymous Coward (スコア:1) 2005年12月29日 16時25分
- Re:たれこみにんですが、本家でも記事になっていました by OKSoft (スコア:1) 2006年01月02日 15時06分
Norton AntiVirus シリーズは未対策? (スコア:5, 参考になる)

Anonymous Coward : 2005年12月29日 21時51分 (#857057)

Symantec は、BloodHound で問題の脆弱性を突くコードを検出できるようにした [symantec.com]としているようですが、私の環境では検出できませんでした。
Firefox 1.5 で、#856990 [slashdot.jp] のリンク先にある、電卓が開くデモをダウンロードしてみましたが、何の警告もなしにローカルマシンにダウンロードされ(*)、電卓が起動しました。(場合によっては Explorer がクラッシュ)
(* Norton 先生が何も警告しなかったという意味であり、Firefox 自身は確認のダイアログボックスを出します。念のため)
OS は Windows XP SP2, Norton AntiVirus のバージョンは 11.0.16.2 (Norton Internet Security 2005), ウイルス定義は 2005/12/28 版、BloodHound は有効(最高の保護レベル)です。
従って、Norton AntiVirus において件の対策が本当に行われているのか、有効に機能しているのかは、はなはだ疑問と言わざるを得ません。
- Re:Norton AntiVirus シリーズは未対策? (スコア:2, 参考になる)
  
  Anonymous Coward : 2005年12月30日 7時07分 (#857245)
  
  XP SP2+IE+Norton2005で電卓デモ試してみました。
  ノートンはスルーしましたが、メタファイルをWindows 画像とFAXビューアーで開こうとした直後にDEPでアプリが止まりました。
  Athlon64なので、ハードウェアでDEPサポートしてるせいかもしれませんけど。
  
  親コメント
- マカフィー VirusScan Enterprise 8.0i + DAT4661 では…… by kjm (スコア:1) 2005年12月30日 2時39分
- Re:Norton AntiVirus シリーズは未対策? by depress (スコア:1) 2005年12月31日 23時01分
  - 1個のコメントが現在のしきい値以下です。
- Re:Norton AntiVirus シリーズは未対策? by plup (スコア:1) 2006年01月03日 21時18分
- 1個のコメントが現在のしきい値以下です。
セキュリティホールmemoのまとめ記事 (スコア:3, 参考になる)

Anonymous Coward : 2005年12月29日 15時20分 (#856880)

セキュリティホールmemoにまとめ [ryukoku.ac.jp]がありますよ。

McAfeeだとbuffer overflowを検出してセーフらしいので一安心。
具体的に何が起こるのか (スコア:2, 興味深い)

Anonymous Coward : 2005年12月29日 17時15分 (#856950)

タレコミからは、この脆弱性によって具体的に何が起こるのか読み取れませんでした。

ということでリンク先のInternetWatchからの引用
---
> 攻撃コードの含まれたHTMLファイルが、Windows XP SP2に影響を
> およぼすトロイの木馬をダウンロードするWMFファイルを動作させる。
> このトロイの木馬が、偽のスパイウェア対策／ウイルス対策ソフトを
> 装ったプログラム「Winhound」ダウンロードするという。
---

なるほど、これは怖い。
あわててパターンファイルを2005/12/21から2005/12/28にアップデートしたところ、
http://www.symantec.com/avcenter/venc/data/bloodhound.exploit.56.html [symantec.com]
ではなく、
http://www.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html [symantec.com]
がゴロゴロと出てきてびっくりしました。

> Discovered on: February 13, 2004
> Last Updated on: September 14, 2005 12:09:29 PM

って…いつのやねん！みたいなね。
- Re:具体的に何が起こるのか (スコア:5, 参考になる)
  
  Technical Type (3408) : 2005年12月29日 18時28分 (#856990)
  
  ウイルスをインストールされた [x0.com]という経験を載せてくださった人がいます。ただし、この悪用サイトは現在は閉鎖された模様。
  他に、電卓が開くデモ [flagbind.jp]があります。ですから、何でもできるという事と、既にあちこちで悪用されているという事です。
  攻撃コードもモロに公開されている [frsirt.com]し、Metasploit でもモジュールになっている [metasploit.com]ので、危険性は著しく高いと思います。
  
  親コメント
  - Re:具体的に何が起こるのか (スコア:2, 参考になる)
    
    sugibuchi (24811) : 2005年12月29日 20時13分 (#857022)
    手元の環境で検証サイトのWMFファイルをダウンロードしたのですが、
    
    問題のWMFファイルをデスクトップに置く
    問題のWMFファイルが入ったフォルダを開く
    これだけでもWMFファイルに仕込まれたシェルコードが実行されてしまったのが強烈です。
    プレビューを作成するために自動的にWMFファイルを処理しようとするのでしょうか?
    
    ユーザの誤操作に関係なく問答無用でコマンドを実行させることが出来るので、悪用されると非常に怖いと思います。
    親コメント
  - Re:具体的に何が起こるのか (スコア:2, 参考になる)
    
    bunny-wheat (25840) : 2005年12月30日 0時12分 (#857145) 日記
    
    WMFの担当がIEでなければ、その場で開こうとしても何とかなるようです。
    私の環境では、[電卓ぅぅぅう]のリンクをクリックして、
    
    開く → ノートン先生は素通ししたが、Paint Shop Pro がファイルを開こうとしてエラー。電卓は起動しなかった
    保存するだけ → OK
    
    でした。
    IEでその場で開かなければ問題ないのかもしれませんが、
    保存した後の「フォルダを開くだけ」は防げませんでした。
    逆に保存したほうが危険とは、恐ろしいですね……
    
    --
    『月面兎兵器ミーナ』2007年1月13日から放送開始
    
    親コメント
    - 1個のコメントが現在のしきい値以下です。
- Re:具体的に何が起こるのか (スコア:2, 参考になる)
  
  Anonymous Coward : 2005年12月29日 18時01分 (#856978)
  
  ちょうど今日エロサイトを見ていた時に，いきなり（wmfに関連づけしていた）Irfan Viewが起動するとともにZone Alarmが不正接続の警告メッセージ出してくれました．
  何かwmfに偽装したウイルスに取り憑かれたのかと思ったのですが，この脆弱性を利用したコードがエロサイトに仕掛けられていたのですね．
  
  親コメント
- 1個のコメントが現在のしきい値以下です。
2000は？ (スコア:2, 参考になる)

shadowfire (6584) : 2005年12月30日 16時23分 (#857417) ホームページ

Windows2000のマシンでも、この書き込み [slashdot.jp]にある
電卓が開くデモは動いたんですが、場合によっては
やはり影響を受けるってことかな？
（保存してもどうってことは無いが開くと電卓が起動する）

--
--------------------
/* SHADOWFIRE */
- Re:W2Kにも影響あり by SassyOS2 (スコア:1) 2006年01月01日 22時11分
攻撃コードより (スコア:1)

OKSoft (27172) : 2005年12月29日 15時34分 (#856892) 日記

修正コードを回してくれ!
- Re:攻撃コードより (スコア:3, 参考になる)
  
  baffclan (9449) : 2005年12月29日 16時35分 (#856928) ホームページ
  
  マイクロソフトさんからセキュリティアドバイザリ (912840) [microsoft.com]が出ました。
  Microsoft Windows AntiSpyware (Beta) [microsoft.com]で対処できると書かれています。
  
  # パッチが出るのは時間の問題ですが、その時間が問題です。
  
  親コメント
  - Re:攻撃コードより (スコア:3, 参考になる)
    
    hanetsuki (4035) : 2005年12月29日 23時00分 (#857099) ホームページ日記
    
    いいえ、AntiSpyware が効くとは書かれていません。
    (緩和条件に含まれていない)
    
    > お客様はウイルス対策ソフトウェアを最新にされることを推奨します。Microsoft Windows AntiSpyware (Beta) (英語版のみ) も、お客様のコンピュータをスパイウェアや別の潜在的に迷惑なソフトウェアから守ることが可能です。マイクロソフトは、これらの公開された報告を引き続き調査する予定です。
    
    と宣伝のように載っているだけです。
    
    …って、知り合いの猫に突っ込まれた
    
    親コメント
  - Re:攻撃コードより (スコア:2, 参考になる)
    
    Anonymous Coward : 2005年12月29日 19時58分 (#857017)
    
    AntiSpywareをインストールしてみましたが、このサイト [x0.com]から飛べるメモ帳を開くデモは作動してしまいました。
    とりあえず、WMFへの関連付けを外して対処しましたが、AntiSpywareが入っているからといって安心できないようです。
    
    #何か設定を間違っているのでしょうか？realtime protectionは全てONになっているのですが…
    
    親コメント
    - NOD32の場合 (スコア:2, 参考になる)
      
      SuperSouya (18827) : 2005年12月29日 22時30分 (#857079) 日記
      
      IMONスキャナによって、この攻撃コードは「Win32/TrojanDownloader.Wmfex」と検出され、切断するか隔離するかの選択画面が出てきました。
      ちなみに私は切断の方を選択しましたので、自動的にサイトから切断されて、無害でした。
      本当に怖いですね…。
      
      --
      Super Souya
      
      親コメント
    - Re:攻撃コードより by Anonymous Coward (スコア:1) 2005年12月29日 20時14分
- 1個のコメントが現在のしきい値以下です。
IT mediaの方にも (スコア:1, 参考になる)

Anonymous Coward : 2005年12月29日 21時29分 (#857048)

記事 [itmedia.co.jp]があるんですが、DEP絡みの部分に誤訳がある模様。

それ以外は結構読みやすいと思うので、目を通してみると
良いかも知れません。
Handler's Diary(2006-01-01)から (スコア:1)

SassyOS2 (8523) <reversethis-{pj. ... {ta} {2soyssas}> : 2006年01月01日 22時06分 (#858144) ホームページ日記

WMF 0day Expliotを悪用したスパムメール [f-secure.com]も出回っている模様。添付ファイルはHappyNewYear.jpgと名づけられているそうなので、皆さん年賀メールには気をつけあそばせ。

またWMF FAQ [sans.org]がまとめられている。
影響を受けるのはWindows 2000, Windows XP, (SP1 and SP2), Windows 2003

Microsoftはまだpatchをリリースしていない。非公式patchがIlfak Guilfanov氏により提供(テスト版) [sans.org](MD5: 99b27206824d9f128af6aa1cc2ad05bc)されている。Windows Picture and Fax Viewerコンポーネントをregsvr32.exeを使ってシステムの登録を解除 [slashdot.jp]した後、現時点では非公式patchを使うのが望ましい

正式なセキュリティ修正プログラムがリリースされています。 (スコア:1)

hanazukin (9933) : 2006年01月06日 9時41分 (#860131) ホームページ日記

Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

1.非公式パッチを導入している場合
　→非公式パッチのアンインストール

2.アドバイザリ*2にしたがって、「regsvr32 -u %windir%\system32\shimgvw.dll」を実行している場合
　→「regsvr32 %windir%\system32\shimgvw.dll」を実行しておく

を忘れないようにしましょう～。

--
By花Ｚ

Re:Windows を使わなければいい (スコア:3, おもしろおかしい)

37A (12754) : 2005年12月29日 17時23分 (#856959) ホームページ日記

>いいかげんに目を覚まそう。

すみません、寝坊しました。

--

----------------------------------------
You can't always get what you want...

親コメント

Re:Windows を使わなければいい (スコア:1, すばらしい洞察)

Anonymous Coward : 2005年12月29日 18時06分 (#856981)

アレゲなら自分でOS作っちゃえよ。

8BitCPUのPC時代なら、それは別に珍しくなかったのに…

親コメント

Re:Windows を使わなければいい (スコア:5, すばらしい洞察)

Anonymous Coward : 2005年12月29日 18時32分 (#856992)

…と言ってるやつが使うLinuxなりBSD等は本当に安全なのか？
Linuxを使う。それ『だけ』では安全にならない事をいい加減自覚すべき。

もっとも、きちんと管理されたLinuxは安全である事はたしか。
しかし、きちんと管理されていないLinuxとWindowsと、どっちが危険か？という疑問は愚問である。

親コメント

Re:Windows を使わなければいい (スコア:2, 興味深い)

koshian (6999) : 2005年12月29日 22時37分 (#857087) ホームページ日記

原理的には同意なんですけども、linuxを使う「だけ」でもけっこう安全である理由もあります。
ようするにシェア問題ですね。今はWindowsのシェアが大きすぎて集中砲火を受けてますから。
linuxやMacOSのシェアを拡大することで、集中砲火が避けられる、という意味では、使う「だけ」でも現状よりは相当リスクが軽減されるんじゃないでしょうかね。

親コメント
Re:Windows を使わなければいい by Technical Type (スコア:1) 2005年12月29日 20時46分
- Re:Windows を使わなければいい (スコア:3, おもしろおかしい)
  
  Anonymous Coward : 2005年12月29日 21時02分 (#857040)
  
  暗い夜道の一人歩き、美女とオッサンのどちらが安全かという問題に似てるなぁとふと思った。
  
  親コメント
  - Re:Windows を使わなければいい by necop (スコア:1) 2005年12月29日 23時14分
  - 1個のコメントが現在のしきい値以下です。
- Re:Windows を使わなければいい by Anonymous Coward (スコア:1) 2005年12月29日 22時32分
  - Re:Windows を使わなければいい (スコア:2)
    
    Technical Type (3408) : 2005年12月30日 3時06分 (#857219)
    それなら正しいパッチの適用も無理だろう。
    
    Before You Connect a New Computer to the Internet [cert.org]
    ワームに感染しない Windows 2000/XP のインストール手順 [nyanta.jp]
    再インストール時に注意 [impress.co.jp]
    こういったテクニックを知っていて実行できて、Windows Update でトラブったら %windir%\WindowsUpdate.log を見て、エラー原因をぐぐって調べる、とかは、できる奴の方が少ないだろ。
    > この構図、ぜひとも崩していただきたいですな。
    「インターネットにつなげたら、Windows Update が完了する前に感染」という構図が崩れていないんですけどね・・・そっちは何とも思わないわけ？
    親コメント
    - Re:Windows を使わなければいい (スコア:3, 参考になる)
      
      Anonymous Coward : 2005年12月30日 7時36分 (#857251)
      
      「インターネットにつなげたら、Windows Update が完了する前に感染」という構図が崩れていないんですけどね・・・そっちは何とも思わないわけ？
      構図はまだ完全には崩れていないかもしれませんが、崩そうとする動きはもう始まっていますよね？
      
      第3回　初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新 [atmarkit.co.jp]
      
      ファイアウォールの空白時間に注意 [atmarkit.co.jp] → "Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 [microsoft.com]の「起動時のセキュリティ」
      
      もはや0から何かしなければならないという状態ではなくて、Microsoft が次に行おうとしていることに対して適切にフィードバックを行うべき段階です。例えば Windows Server 2003 のデフォルト設定は非常に厳しいもので、ごく一部の信頼済みサイト以外からはブラウザでファイルのダウンロードすらできないという設定で出荷されています。
      
      問題はこういったデフォルト設定を (建前上はまともな知識があるはずの) サーバ管理者だけではなく、おじいちゃんおばあちゃんにも適用しちゃうとどうなるかなわけで、Windows Vista で問われるのはそこでしょう。
      
      親コメント
    - Re:Windows を使わなければいい by ZZX (スコア:1) 2005年12月31日 11時36分
    - 3個のコメントが現在のしきい値以下です。
  - Re:Windows を使わなければいい by Anonymous Coward (スコア:1) 2005年12月30日 2時11分
  - Re:Windows を使わなければいい by Anonymous Coward (スコア:1) 2005年12月30日 2時14分
    - 1個のコメントが現在のしきい値以下です。
- Re:Windows を使わなければいい (スコア:2)
  
  Technical Type (3408) : 2005年12月31日 16時40分 (#857778)
  
  臆病な匿名野郎の分際で、しかも調べもしないで反論か？　迷惑だから、投稿しないでくれ。
  http://isc.sans.org/survivalhistory.php
  
  親コメント
  - Re:Windows を使わなければいい by Anonymous Coward (スコア:1) 2005年12月31日 17時10分
  - 1個のコメントが現在のしきい値以下です。
- 3個のコメントが現在のしきい値以下です。

Re:パッチができるまで？ (スコア:1, すばらしい洞察)

Anonymous Coward : 2005年12月29日 18時36分 (#856994)

Firefox使うときも慎重になってくださいね。

親コメント

Re:パッチができるまで？ by sugibuchi (スコア:1) 2005年12月29日 18時58分
- Re:パッチができるまで？ by monaoh (スコア:1) 2005年12月29日 20時53分
  - 2個のコメントが現在のしきい値以下です。
- 1個のコメントが現在のしきい値以下です。

5個のコメントが現在のしきい値以下です。

スラッシュドット・ジャパン

アレゲなニュースと雑談サイト

セクション

セキュリティ

Slashdot

ストーリー

情報提供

OSDNサイト

関連ストーリー一覧

Windowsにゼロデイ攻撃を受ける深刻な脆弱性

たれこみにんですが、本家でも記事になっていました (スコア:5, 参考になる)

Re:たれこみにんですが、本家でも記事になっていました (スコア:5, 参考になる)

Re:たれこみにんですが、本家でも記事になっていました (スコア:3, 興味深い)

Re:たれこみにんですが、本家でも記事になっていました (スコア:3, 参考になる)

Norton AntiVirus シリーズは未対策? (スコア:5, 参考になる)

Re:Norton AntiVirus シリーズは未対策? (スコア:2, 参考になる)

セキュリティホールmemoのまとめ記事 (スコア:3, 参考になる)

具体的に何が起こるのか (スコア:2, 興味深い)

Re:具体的に何が起こるのか (スコア:5, 参考になる)

Re:具体的に何が起こるのか (スコア:2, 参考になる)

Re:具体的に何が起こるのか (スコア:2, 参考になる)

Re:具体的に何が起こるのか (スコア:2, 参考になる)

2000は？ (スコア:2, 参考になる)

攻撃コードより (スコア:1)

Re:攻撃コードより (スコア:3, 参考になる)

Re:攻撃コードより (スコア:3, 参考になる)

Re:攻撃コードより (スコア:2, 参考になる)

NOD32の場合 (スコア:2, 参考になる)

IT mediaの方にも (スコア:1, 参考になる)

Handler's Diary(2006-01-01)から (スコア:1)

正式なセキュリティ修正プログラムがリリースされています。 (スコア:1)

Re:Windows を使わなければいい (スコア:3, おもしろおかしい)

Re:Windows を使わなければいい (スコア:1, すばらしい洞察)

Re:Windows を使わなければいい (スコア:5, すばらしい洞察)

Re:Windows を使わなければいい (スコア:2, 興味深い)

Re:Windows を使わなければいい (スコア:3, おもしろおかしい)

Re:Windows を使わなければいい (スコア:2)

Re:Windows を使わなければいい (スコア:3, 参考になる)

Re:Windows を使わなければいい (スコア:2)

Re:パッチができるまで？ (スコア:1, すばらしい洞察)

閉じる