マイクロソフトが 4 月も大量のパッチを公開
2015年4月14日 COREY NACHREINER 著
14のセキュリティ情報が発表された昨月ほどではありませんが、4月の月例パッチ公開日も多くのアップデートが公開されました。発表されたサマリーによれば、マイクロソフトから 11 のセキュリティ情報が発表され、そのいくつかは重大な問題を解決するためのものでした。Windows 管理者の皆さんは、発表内容を良く理解し、必要なパッチを速やかに適用してください。
件数について:
マイクロソフトは本日、定例パッチとして、同社の各種製品に存在する 26 個の脆弱性を修正するために、11 件のセキュリティ情報を公開しました。影響を受ける製品は以下のとおりです。
- Windows の現在のすべてのバージョン
- Internet Explorer(IE)
- Office
- SharePoint Server
- .NET Framework
- XML Core Services
- Hyper-V
4 件については深刻度が「緊急」であり、残りは「重要」となっています。
定例パッチの概要:
私見ですが、今月は、HTTP.sysの脆弱性が最も重大であると考えられます。明言されていませんが、この脆弱性は、すべてのマイクロソフトのIIS Webサーバに影響します。意図的に作成された Web 要求を送るという単純な方法で、攻撃者に Web サーバを乗っ取られてしまう可能性があります。私が Web サーバの管理者だったなら、外部に公開しているすべての Windows ベースの IIS サーバにすぐにパッチを適用するでしょう。WatchGuard の IPS サービスには、この手の攻撃に対応するシグニチャがあり、パッチを適用するまでの間のリスクの緩和に役立ちます。
これ以外の脆弱性についても、マイクロソフトの深刻度が「緊急」のすべてのアップデートをできるだけ早く適用して、解決してください。Internet Explorer の脆弱性は、最近増えているドライブバイダウンロード攻撃で悪用される可能性があることから、大きなリスクにつながります。
各セキュリティ情報の概要:
深刻度の高い順に 4 月のセキュリティ情報の概要を説明していきます。影響を受ける製品を使用されている場合には、この優先順位の通りに、アップデートを適用することを推奨します。
MS15-032 – 緊急 – IE メモリ破損の脆弱性 – マイクロソフトが毎月発表する Internet Explorer(IE)の累積的なアップデートは、メモリ破損の脆弱性をまとめて修正する、有効な手段であり、今月もその重要性に変わりはありません。これらの脆弱性は、リモートの攻撃者に悪用されて、コードを実行される可能性があり、実際に、多くのドライブバイダウンロードで使われています。悪意のあるコードが仕込まれたサイトに誘導されると、この脆弱性が攻撃され、ユーザのマシンで任意のコードが実行される恐れがあります。ユーザにローカル管理者の権限がある場合、攻撃者はコンピュータを完全に乗っ取ることが可能です。また、このアップデートによって、メモリ破損の脆弱性の容易な悪用につながる、ASLR(Address Space Layout Randomization)迂回の脆弱性も修正されます。
MS15-033 – 緊急 – Office の複数の脆弱性 – Office、および Word や Excel などのそのコンポーネントに、5 つの脆弱性が存在します。最も深刻なのは、メモリ関連コード実行の 4 つの脆弱性で、悪意のある Office ドキュメントを開くように誘導される可能性があります。そのようなドキュメントを開くと、コンピュータで特権付きでコードが実行される恐れがあります。また、Mac 版の Outlook にも、クロスサイトスクリプト (XSS) の脆弱性が存在します。
MS15-034 – 緊急 – Windows HTTP スタックコード実行 – HTTP.sys は Windows の HTTP スタックであり、HTTP プロトコル要求の処理に使用されるコンポーネントですが、 リモートのコード実行に対する脆弱性が存在します。攻撃者が意図的に作成された HTTP 要求を送信することでこの脆弱性を悪用し、コンピュータを完全に制御されてしまう(SYSTEM 権限でコードが実行される)可能性があります。ところが、実行する必要があるいくつかの Web サービス(IIS など)は HTTP.sys を使用しているため、この脆弱性の影響を受けることになります。これは、IIS サーバに影響する重大な脆弱性です。
MS15-035 – 緊急 – EMF イメージコード実行の脆弱性 – Windows がイメージ処理に使用するグラフィックコンポーネントのEMF(Enhanced MetaFile)イメージの解析方法に、脆弱性が存在します。簡単に言うと、悪意のある攻撃者がこの脆弱性を悪用すると、Web サイトやメールなどでユーザにこのイメージを表示させ、ユーザの権限を使ってコンピュータでコードを実行することができます。
MS15-036 – 緊急 – SharePoint Server XSS の脆弱性 – SharePoint のクロスサイトスクリプト(XSS)の 2 つの脆弱性を悪用すると、攻撃者が権限を引き上げることができます。ユーザが 1 人でも意図的に細工されたリンクをクリックすれば、攻撃者はこの脆弱性を悪用し、SharePoint Server をそのユーザの権限で操作できるようになります。つまり、すべてのドキュメントをそのユーザであるかのように操作し、参照したり、変更したりできるということです。
MS15-037 – 重要 – タスクスケジューラ EoP の脆弱性 – Windows のタスクスケジューラに、権限の引き上げに関連する脆弱性が存在します。攻撃者が(たとえ、低い権限のものであっても)有効な資格情報を使って Windows システムにログインできさえすれば、この脆弱性を悪用するプログラムを実行し、コンピュータを完全に制御できるようになります。
MS15-038 – 重要 – Windows EoP の 2 つの脆弱性 – Windows の他の 2 つのコンポーネントにも、上記のタスクスケジューラと同様の脆弱性があります。厳密に言えば異なる点もありますが、脆弱性の範囲と影響については同じです。攻撃者がログインしてプログラムを実行できさえすれば、Windows の SYSTEM 権限を完全に手に入れることができます。
MS15-039 – 重要 – XML Core Services セキュリティ迂回の脆弱性 – Microsoft XML Core Services(MSXML)に、same-origin(同一生成元)ポリシーの迂回を攻撃者に許してしまう脆弱性が存在します。これにより、クロスサイトスクリプト(XSS)攻撃と同様の攻撃を許してしまう可能性があります。ユーザが悪意あるリンクをクリックすると、そのユーザの権限で攻撃者がリソースにアクセスできるようになります。
MS15-040 – 重要 – Active Directory フェデレーションサービス情報の漏えい – Active Directory フェデレーションサービス(AD FS)で、ユーザが完全にはログオフされません。 新しいユーザがログオンすると、(昨年の同様の脆弱性と同じように)前のユーザのアプリケーション情報にアクセスできてしまう可能性があります。
MS15-041 – 重要 – .NET Framework 情報の漏えいの脆弱性 – .NET Framework の脆弱性により、一部の Web アプリケーションの構成情報を攻撃者が意図せずに参照できてしまう可能性があります。ただし、この脆弱性によって構成情報が漏えいする可能性があるのは、Web アプリケーションに詳細エラーメッセージを構成している場合だけです(したがって、外部に公開する Web アプリケーションはこのように構成しないでください)。
MS15-042 – 重要 – Hyper-V の DDoS に対する脆弱性 – マイクロソフトの仮想化コンポーネントである Hyper-V に、DoS に対する脆弱性が存在します。正規の資格情報を使用して仮想マシン(VM)にログインされてしまうと、攻撃者が悪意あるプログラムを実行できるようになり、サーバ上のすべてのVMからの応答停止を引き起こす可能性があります。もちろん、このような攻撃を実行するには、攻撃者が有効な資格情報を手に入れて、VMにアクセスする必要があります。
解決策:
上記に記載されているソフトウェアを使用している場合には、速やかに対応するアップデートを適用してください。緊急のアップデートは今すぐに適用し、重要のアップデートはその後に適用してください。警告のアップデートは最後で構いません。
次の3つの方法で、アップデートを入手できます。
Windows の自動アップデートでこのアップデートを適用する – パッチを適用すると新しい問題が発生する場合がありますが、サーバほど頻繁にはクライアントでは問題が発生していないようです。ネットワークを安全に維持するために、Windows クライアントについてはアップデートを自動的に適用するように設定しておき、迅速に適用することを推奨します。
パッチを手動でダウンロードしてインストールする – そうは言っても、多くの企業は、本番サーバとサーバソフトウェアに非常に依存しています。そのため、新しいサーバアップデートの場合には、本番サーバに手動で適用する前に、必ずテストしておくことを推奨しています。仮想化でテスト環境を構築し、テスト用に本番環境のダミーを作成しておくと良いでしょう。各セキュリティ情報にはリンクを付けていますので、リンクから各種のアップデートをダウンロードできます。
月例の完全なセキュリティアップデートの ISO をダウンロードする – ついに、マイクロソフト社はすべてのセキュリティアップデートを統合した ISO イメージを公開するようになりました。管理者は、この ISO を利用すると、すべてのアップデートを一度に利用できます。毎月のセキュリティ ISO へのリンクはここからアクセスできますが、定例パッチの数日後にこの ISO イメージは公開されます。
WatchGuard のユーザの皆様へ:
WatchGuard の Gateway Antivirus(GAV)、不正侵入防止サービス、APT Blocker サービスによって、これらのいくつかのタイプの攻撃を防止でき、攻撃者が拡散しようとしているマルウェアを防止できます。たとえば、ウォッチガードの IPS シグニチャチームは、次のマイクロソフトのアラートで説明されている多くの攻撃を検出してブロックできるシグニチャを開発しています。
WEB Microsoft IIS HTTP.sys のリモートコード実行の脆弱性(CVE-2015-1635)
FILE Microsoft Windows グラフィック EMF 処理のリモートコード実行の脆弱性(CVE-2015-1645)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1652)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1668)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1667)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1666)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1665)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1662)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1661)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1660)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1659)
WEB-CLIENT Microsoft Internet Explorer メモリ破損の脆弱性(CVE-2015-1657)
FILE Microsoft Word のメモリ破損の脆弱性(CVE-2015-1641)
FILE Microsoft Word のメモリ破損の脆弱性(CVE-2015-1650)
WEB Microsoft ASP.NET の情報漏えいの脆弱性(CVE-2015-1648)
Firebox や XTM アプライアンスには、この新しい IPS シグネチャアップデートがすぐに適用されます。
さらに、当社の Reputation Enabled Defense(RED)と WebBlocker サービスは、これらの攻撃コードが仕組まれた悪意のある Web サイト(または攻撃者に乗っ取られた正規のサイト)に間違ってアクセスすることがないようにします。しかし、これらのすべての脆弱性から完全に保護するためにマイクロソフトのアップデートをインストールすることを推奨します。
マイクロソフトは今日、2 つの新しいセキュリティ情報も発表しました。マイクロソフトによる公開鍵暗号化の強化や SSL 3.0 の問題の現状について関心をお持ちの方は、それぞれの新しいアップデートのページも併せてご確認ください。