Tag Archives: Vulnerabilities & Exploits

?????????????Microsoft Patch Tuesday?- 2014 ? 5 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2014 ? 5 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、13 件の脆弱性を対象として 8 つのセキュリティ情報がリリースされています。このうち 3 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 5 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-may

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-022 Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される(2952166)

    SharePoint ページコンテンツの脆弱性(CVE-2014-0251)MS の深刻度: 重要

    Microsoft SharePoint Server に複数のリモートコード実行の脆弱性が存在します。認証された攻撃者が、関連するこれらの脆弱性のいずれかの悪用に成功すると、W3WP サービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。

    SharePoint XSS の脆弱性(CVE-2014-1754)MS の深刻度: 緊急

    Microsoft SharePoint Server に特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、クロスサイトスクリプティング攻撃を実行し、ログオンユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。

    Web Applications ページコンテンツの脆弱性(CVE-2014-1813)MS の深刻度: 重要

    Microsoft Web Applications にリモートコード実行の脆弱性が存在します。認証された攻撃者がこの脆弱性の悪用に成功すると、W3WP サービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。

  2. MS14-023 Microsoft Office の脆弱性により、リモートでコードが実行される(2961037)

    Microsoft Office の中国語文章校正の脆弱性(CVE-2014-1756)MS の深刻度: 重要

    影響を受ける Microsoft Office ソフトウェアがダイナミックリンクライブラリ(.dll)ファイルのロードを処理する方法に、リモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。システムでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者のユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。

    トークン再使用の脆弱性(CVE-2014-1808)MS の深刻度: 重要

    悪質な Web サイト上にホストされている Office ファイルを開こうとしているとき、影響を受ける Microsoft Office ソフトウェアが特別に細工された応答を適切に処理できない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、標的となる Microsoft オンラインサービスで現在のユーザーの認証に使うアクセストークンを確認できる場合があります。

  3. MS14-024 Microsoft コモンコントロールの脆弱性により、セキュリティ機能が回避される(2961033)

    MSCOMCTL ASLR の脆弱性(CVE-2014-1809)MS の深刻度: 重要

    Microsoft Office ソフトウェアによって使用される MSCOMCTL コモンコントロールライブラリが ASLR(Address Space Layout Randomization)を適切に実装していないため、セキュリティ機能回避の脆弱性が存在します。この脆弱性により、攻撃者は広い範囲の脆弱性からユーザーを保護している ASLR セキュリティ機能を回避できるようになります。このセキュリティ機能の回避そのものによって任意のコードが実行されることはありませんが、攻撃者はこの ASLR 回避の脆弱性を、リモートでコード実行の脆弱性など別の脆弱性と組み合わせて使用し、ASLR 回避を利用することで、任意のコードを実行する可能性があります。

  4. MS14-025 グループポリシー基本設定の脆弱性により、特権が昇格される(2962486)

    グループポリシー基本設定のパスワードの特権昇格の脆弱性(CVE-2014-1812)MS の深刻度: 重要

    Active Directory がグループポリシー基本設定を使って構成されているパスワードを配布する方法に、特権昇格の脆弱性が存在します。認証された攻撃者がこの脆弱性の悪用に成功すると、パスワードを解読して利用し、ドメイン上で特権を昇格できる可能性があります。

  5. MS14-026 .NET Framework の脆弱性により、特権が昇格される(2958732)

    TypeFilterLevel の脆弱性(CVE-2014-1806)MS の深刻度: 重要

    .NET Framework が不正な形式の一部のオブジェクトに対して TypeFilterLevel チェックを処理する方法に、特権昇格の脆弱性が存在します。

  6. MS14-027 Windows シェルハンドラの脆弱性により、特権が昇格される(2962488)

    Windows シェルのファイル関連付けの脆弱性(CVE-2014-1807)MS の深刻度: 重要

    Windows シェルがファイルの関連付けを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、Local System アカウントのコンテキストで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

  7. MS14-028 iSCSI の脆弱性により、サービス拒否が起こる(2962485)

    iSCSI ターゲットのリモートサービス拒否の脆弱性(CVE-2014-0255)MS の深刻度: 重要

    影響を受けるオペレーティングシステムが iSCSI パケットを処理する方法に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるサービスが応答を停止する可能性があります。

    iSCSI ターゲットのリモートサービス拒否の脆弱性(CVE-2014-0256)MS の深刻度: 重要

    影響を受けるオペレーティングシステムが iSCSI 接続を処理する方法に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるサービスが応答を停止する可能性があります。

  8. MS14-029  Internet Explorer 用のセキュリティ更新プログラム(2962482)

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0310)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-1815)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – May 2014

      No Comments on Microsoft Patch Tuesday – May 2014

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing eight bulletins covering a total of 13 vulnerabilities. Three of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the May releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-may

The following is a breakdown of the issues being addressed this month:

  1. MS14-022 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2952166)

    SharePoint Page Content Vulnerabilities (CVE-2014-0251) MS Rating: Important

    Multiple remote code execution vulnerabilities exist in Microsoft SharePoint Server. An authenticated attacker who successfully exploited any of these related vulnerabilities could run arbitrary code in the security context of the W3WP service account.

    SharePoint XSS Vulnerability (CVE-2014-1754) MS Rating: Critical

    An elevation of privilege vulnerability exists in Microsoft SharePoint Server. An attacker who successfully exploited this vulnerability could allow an attacker to perform cross-site scripting attacks and run script in the security context of the logged-on user.

    Web Applications Page Content Vulnerability (CVE-2014-1813) MS Rating: Important

    A remote code execution vulnerability exists in Microsoft Web Applications. An authenticated attacker who successfully exploited this vulnerability could run arbitrary code in the security context of the W3WP service account.

  2. MS14-023 Vulnerability in Microsoft Office Could Allow Remote Code Execution (2961037)

    Microsoft Office Chinese Grammar Checking Vulnerability (CVE-2014-1756) MS Rating: Important

    A remote code execution vulnerability exists in the way that the affected Microsoft Office software handles the loading of dynamic-link library (.dll) files. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

    Token Reuse Vulnerability (CVE-2014-1808) MS Rating: Important

    An information disclosure vulnerability exists when the affected Microsoft Office software does not properly handle a specially crafted response while attempting to open an Office file hosted on the malicious website. An attacker who successfully exploited this vulnerability could ascertain access tokens used to authenticate the current user on a targeted Microsoft online service.

  3. MS14-024 Vulnerability in a Microsoft Common Control Could Allow Security Feature Bypass (2961033)

    MSCOMCTL ASLR Vulnerability (CVE-2014-1809) MS Rating: Important

    A security feature bypass vulnerability exists because the MSCOMCTL common controls library used by Microsoft Office software does not properly implement Address Space Layout Randomization (ASLR). The vulnerability could allow an attacker to bypass the ASLR security feature, which helps protect users from a broad class of vulnerabilities. The security feature bypass by itself does not allow an arbitrary code execution. However, an attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability that could take advantage of the ASLR bypass to run arbitrary code.

  4. MS14-025 Vulnerability in Group Policy Preferences Could Allow Elevation of Privilege (2962486)

    Group Policy Preferences Password Elevation of Privilege Vulnerability (CVE-2014-1812) MS Rating: Important

    An elevation of privilege vulnerability exists in the way that Active Directory distributes passwords that are configured using Group Policy preferences. An authenticated attacker who successfully exploited the vulnerability could decrypt the passwords and use them to elevate privileges on the domain.

  5. MS14-026 Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732)

    TypeFilterLevel Vulnerability (CVE-2014-1806) MS Rating: Important

    An elevation of privilege vulnerability exists in the way that the .NET Framework handles TypeFilterLevel checks for some malformed objects.

  6. MS14-027 Vulnerability in Windows Shell Handler Could Allow Elevation of Privilege (2962488)

    Windows Shell File Association Vulnerability (CVE-2014-1807) MS Rating: Important

    An elevation of privilege vulnerability exists when the Windows Shell improperly handles file associations. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the Local System account. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

  7. MS14-028 Vulnerability in iSCSI Could Allow Denial of Service (2962485)

    iSCSI Target Remote Denial of Service Vulnerability (CVE-2014-0255) MS Rating: Important

    A denial of service vulnerability exists in the way that affected operating systems handle iSCSI packets. An attacker who successfully exploited the vulnerability could cause the affected service or services to stop responding.

    iSCSI Target Remote Denial of Service Vulnerability (CVE-2014-0256) MS Rating: Important

    A denial of service vulnerability exists in the way that affected operating systems handle iSCSI connections. An attacker who successfully exploited the vulnerability could cause the affected service or services to stop responding.

  8. MS14-029 Security Security Update for Internet Explorer (2962482)

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0310) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-1815) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

Adobe ?? Flash Player ???????????????????????

      No Comments on Adobe ?? Flash Player ???????????????????????

Adobe 社は、Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)に対するセキュリティ情報を公開しました。この新しいセキュリティ情報 APSB14-13 によると、複数のプラットフォームで、さまざまバージョンの Adobe Flash Player に影響するバッファオーバーフローの脆弱性が存在します。攻撃者は、この深刻な脆弱性を悪用して、リモートから任意のコードを実行できる可能性があります。 Adobe 社では、この脆弱性がすでに悪用されていることを確認しています。さらに詳しい調査により、この脆弱性は標的型攻撃で悪用されていることがわかっています。

セキュリティ情報によれば、次のバージョンの Adobe Flash Player に脆弱性が存在します。

  • Windows 版の Adobe Flash Player 13.0.0.182 およびそれ以前のバージョン
  • Macintosh 版の Adobe Flash Player 13.0.0.201 およびそれ以前のバージョン
  • Linux 版の Adobe Flash Player 11.2.202.350 およびそれ以前のバージョン

シマンテックセキュリティレスポンスは、今後も継続して状況を監視し、この脆弱性に関する追加情報が確認でき次第お知らせいたします。また、脆弱性悪用の可能性を軽減するために、Adobe 社が提供しているパッチを適用することをお勧めします。更新プログラムを入手するには、Adobe Flash Player のダウンロードセンターに直接アクセスするか、またはインストール済みの製品で表示される更新確認を承諾してください。Chrome および Internet Explorer に付属の Flash Player は、それぞれのブラウザを更新することで、脆弱性の存在しないバージョンに更新できます。

 

更新情報 – 2014 年 4 月 29 日:
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策
Bloodhound.Flash.24

侵入防止システム
Web Attack: Adobe Flash Player CVE-2014-0515

Symantec.Cloud サービスをお使いのお客様も、この脆弱性を悪用した電子メール攻撃から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Adobe Patches Exploited Flash Player Vulnerability

      No Comments on Adobe Patches Exploited Flash Player Vulnerability

Adobe has published a Security Bulletin for the Adobe Flash Player CVE-2014-0515 Buffer Overflow Vulnerability (CVE-2014-0515). The new Security Bulletin, APSB14-13, identifies a buffer overflow vulnerability that affects various ve…

Heartbleed Representa Risco para Clientes e Internet das Coisas

      No Comments on Heartbleed Representa Risco para Clientes e Internet das Coisas

A maior parte do foco com o Heartbleed tem sido referente a sites públicos, mas o bug afeta muito mais do que isso. Ainda que os sites mais populares não estejam vulneráveis, isso não significa que o usuário final possa baixar a guarda.

O Heartbleed também afeta softwares das organizações e corrompe sites, e-mail, chats, FTPs, aplicativos móveis, VPN e atualizadores de software. Em suma, qualquer cliente que se comunique através de SSL/TLS, usando uma versão vulnerável de OpenSSL, está sujeito a ataques.

Além disso, o Heartbleed afeta diversos outros aparelhos além de servidores de Web. Entre eles, proxies e servidores de mídia, games, banco de dados, chat e FTP. Por fim, equipamentos de hardware não estão imunes à vulnerabilidade. Ela pode afetar roteadores, PABXs (sistemas telefônicos corporativos) e, provavelmente, uma série de aparelhos que possuem Internet – IoT (Internet da Coisas, em português).

O ataque a estes servidores de software e hardware por meio da vulnerabilidade Heartbleed é feito de forma semelhante a  um ataque a sites vulneráveis. No entanto, golpes a clientes podem acontecer essencialmente da forma reversa.

Normalmente, a exploração do Heartbleed vem sendo descrita como um cliente atacante que envia uma mensagem maliciosa para um servidor vulnerável e este equipamento expõe os dados privados. No entanto, o contrário também acontece. Uma empresa vulnerável pode se conectar a um servidor e ele pode enviar uma mensagem maliciosa de Heartbeat para o cliente – que cliente responderá com dados adicionais encontrados em sua memória, potencialmente expondo credenciais e demais dados privados.

Heartbleed-3486810-fig1-v2.png

Figura 1. Como um cliente vulnerável é atacado

Felizmente, enquanto os clientes estão vulneráveis, pode ser difícil explorá-los em cenários do mundo real. Os dois principais vetores de ataque são instruir o cliente a visitar um servidor SSL/TLS malicioso ou sequestrar a conexão a partir de fraquezas não relacionadas. Ambos apresentam uma complicação adicional para o atacante.

Direcionar o cliente a um servidor malicioso

Um exemplo simples de como um cliente pode ser explorado é por meio de um navegador Web vulnerável. É preciso simplesmente convencer a vítima a visitar uma URL maliciosa para permitir que o servidor atacante consiga acesso à memória do navegador Web do cliente. Isso coloca em risco conteúdos como cookies de sessões anteriores, sites visitados, dados de formulários e credenciais de autenticação.

Os navegadores mais populares não utilizam OpenSSL, mas as bibliotecas NSS (Network Security Services) são vulneráveis ao Heartbleed. No entanto, muitos clientes Web de linha de comando usam OpenSSL (por exemplo, wget e curl) e estão suscetíveis.

O fato de um atacante precisar enganar o usuário para que visite um site malicioso pode mitigar parte do risco, mas isso nem sempre é necessário. Imagine um serviço online de tradução de idiomas que você fornece uma URL para uma página em francês a um serviço automatizado e o serviço traduzirá o conteúdo para o inglês. Nos bastidores, o serviço está buscando o conteúdo na página em francês usando seu próprio cliente de backend. Se você fornecer a URL de um servidor malicioso, o cliente de backend será explorado e o atacante pode coletar informações sensíveis como códigos ou credenciais do serviço de tradução.

Sequestro de conexão

Direcionar clientes para um servidor malicioso conforme descrito acima exige a instrução das pessoas para que visitem servidores arbitrários. No entanto, muitos clientes podem contatar apenas um domínio pré-definido, hard-coded. Nestes casos, ainda assim a pessoa pode ser explorada. Em redes abertas compartilhadas como algumas redes públicas de Wi-Fi, o tráfego pode ser visível e alterado por outros, permitindo que os atacantes redirecionem clientes vulneráveis. Normalmente, SSL/TLS (por exemplo, HTTPS, navegação Web criptografada) é uma das soluções para este problema, já que a criptografia evita o eavesdropping (espionagem do tráfego da rede) e redirecionamento. Porém, é possível enviar mensagens maliciosas de Heartbeat antes da sessão SSL/TLS estar plenamente estabelecida.

Um atacante pode entrar em uma rede pública e espionar (eavesdrop) vítimas em potencial. Quando uma vítima em potencial utiliza um cliente vulnerável para estabelecer uma conexão SSL/TLS com um servidor legítimo, o atacante redireciona a conexão para o servidor malicioso. Antes que a conexão SSL/TLS esteja plenamente estabelecida e tenha chance de bloquear qualquer redirecionamento, o atacante pode enviar uma mensagem maliciosa de Heartbeat, extraindo os conteúdos da memória do computador da vítima. Isso pode incluir dados privados como credenciais de autenticação.

Heartbleed-3486810-fig2.png

Figura 2. Como um atacante pode sequestrar e redirecionar um cliente vulnerável em uma rede aberta compartilhada

Além da orientação prévia, nós também recomendamos:

  • Evite visitar domínios desconhecidos com qualquer software de cliente, que aceite mensagens Heartbeat usando bibliotecas vulneráveis OpenSSL;
  • Não utilize os serviços de proxy que não receberam patches;
  • Atualize softwares e hardwares conforme os fornecedores disponibilizarem patches;
  • Use um cliente VPN e serviço não vulnerável ao Heartbleed quando estiver em redes públicas.

 

Heartbleed ??????????? IoT????????????????????????????

      No Comments on Heartbleed ??????????? IoT????????????????????????????

Heartbleed についての議論は、そのほとんどが脆弱な公開 Web サイトに集中していますが、このバグの影響はそれ以上の範囲に及んでいます。利用者の多いサイトのほとんどはすでに対応済みですが、だからといってエンドユーザーが警戒を緩めていいわけではありません。

Heartbleed の影響は、クライアントソフトウェアにも等しく及びます。いくつか例を挙げるだけでも、Web クライアントや電子メールクライアント、チャットクライアント、FTP クライアント、モバイルアプリ、VPN クライアント、そしてソフトウェアアップデータなどが該当します。要するに、脆弱なバージョンの OpenSSL を使って SSL/TLS 通信を行うクライアントであれば、どれも攻撃を受ける恐れがあるのです。

しかも、Heartbleed は Web サーバー以外のさまざまなサーバーにも影響します。プロキシ、メディアサーバー、ゲームサーバー、データベースサーバー、チャットサーバー、FTP サーバーなどです。それどころか、ハードウェアデバイスでさえ Heartbleed 脆弱性の影響は免れず、ルーター、PBX(ビジネス電話システム)、そしておそらくは IoT(モノのインターネット)に分類される無数のデバイスにも影響は及びます。

Heartbleed 脆弱性を悪用してこうしたソフトウェアやハードウェアサーバーに攻撃を仕掛ける手口は、脆弱な Web サイトに対する攻撃に似ています。ただし、クライアントに対する攻撃は実質上、逆の方向でも起きることもあります。

Heartbleed の悪用については、攻撃側のクライアントが脆弱なサーバーに悪質な Heartbleed メッセージを送り付けることで、サーバーが個人データを漏えいしてしまうと説明されています。しかし、その逆方向でも攻撃は成り立ちます。脆弱なクライアントがサーバーに接続し、サーバー自身が悪質な Heartbleed メッセージをクライアントに送信すれば、クライアントはそのメモリ上にある別のデータを伴って応答するため、資格情報や個人データが公開される可能性があるからです。

Heartbleed-3486810-fig1-v2.png

図 1. 脆弱なクライアントに対する攻撃方法は、基本的にサーバーに対する攻撃方法の逆

幸い、クライアントに脆弱性があるとしても、現実的にはそれを悪用することは難しいと考えられます。この攻撃の主な経路は、悪質な SSL/TLS サーバーにアクセスするようクライアントに指示するか、別の脆弱性を悪用して接続を乗っ取るかの 2 つですが、攻撃者にとって複雑さが増すという点では同じです。

クライアントから悪質なサーバーへの誘導
クライアントを悪用できる最も単純な例は、脆弱な Web ブラウザを介した攻撃です。被害者を欺いて悪質な URL にアクセスさせるだけで、攻撃側のサーバーはクライアント Web ブラウザのメモリにアクセスできるようになります。そうなると、以前のセッションの cookie、アクセスしたことのある Web サイト、フォームデータ、認証資格情報といったコンテンツもリスクにさらされることになります。

広く利用されているブラウザのほとんどは OpenSSL ではなく NSS(Network Security Services)のライブラリを使っています。NSS は Heartbleed に対して脆弱ではありませんが、Web クライアントも多くのコマンドラインでは OpenSSL を使っており(wget、curl など)、やはり脆弱です。

攻撃者にとってはユーザーを欺いて悪質なサイトにアクセスさせるという手間が掛かるので、いくぶんリスクは軽減されますが、その手間が掛からない場合もあります。たとえば、フランス語で書かれたページの URL を入力すると、そのコンテンツが英語に自動的に翻訳されるオンライン翻訳サービスを例に考えてみましょう。この翻訳サービスは、独自のバックエンドクライアントを使ってフランス語ページのコンテンツを取得します。このとき悪質なサーバーの URL を入力すればバックエンドクライアントを悪用して、この翻訳サービスからコードや資格情報といった重要な情報を盗み出せることになります。

接続の乗っ取り
前述のように、クライアントを悪質なサーバーに誘導するには、任意のサーバーにアクセスするようクライアントに指示する必要があります。確かに、多くのクライアントが接続するのは、ハードコード化された、あらかじめ定義されたドメインだけかもしれませんが、そうした場合でも、やはりクライアントの悪用は可能です。一部の公共 Wi-Fi ネットワークのような共有のオープンネットワークでは、他人がトラフィックを傍受して変更できる可能性があるため、攻撃者は脆弱なクライアントをリダイレクトできます。通常であれば、この問題のひとつの解決策となるのが SSL/TLS(たとえば、暗号化された Web ブラウジングである HTTPS)です。暗号化すれば、傍受もリダイレクトも防げるからです。ところが、SSL/TLS セッションが完全に確立する前であれば、悪質な Heartbeat メッセージを送信することが可能です。

攻撃者は、公共のネットワークに参加して、無防備なユーザーの通信を傍受することができます。無防備なユーザーが、正規のサーバーへの SSL/TLS 接続を確立する際に脆弱なクライアントを使っている場合、攻撃者はその接続を悪質なサーバーにリダイレクトします。SSL/TLS 接続が完全に確立される前で、リダイレクトを遮断するチャンスがある段階であれば、攻撃者は悪質な Heartbeat メッセージを送信して被害者のコンピュータのメモリから内容を抜き取ることができます。これには、認証資格情報などの個人データが含まれているかもしれません。

Heartbleed-3486810-fig2.png

図 2. 共有のオープンネットワーク上で攻撃者が脆弱なクライアントを乗っ取ってリダイレクトする仕組み

以前のブログに示した注意事項に加えて、以下の推奨事項にも従うようにしてください。

  • どのようなクライアントソフトウェアを使っている場合でも、不明なドメインにはアクセスしないでください。脆弱な OpenSSL ライブラリを使って Heartbeat メッセージを受信してしまうかもしれません。
  • パッチが適用されていないプロキシサービスは使用しないようにしてください。
  • ソフトウェアもハードウェアも、ベンダーからパッチが公開されたら速やかに更新してください。
  • 公共のネットワークでは、Heartbleed に対して脆弱でないことが確認されている VPN クライアントやサービスを使用してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。