マイクロソフトは17日、ショートカットのアイコンを表示すると任意のコードが実行されるおそれがある脆弱性のアドバイザリを公開した。対象となるのは、Windows7を含むすべてのバージョン。
この脆弱性は、Windows Shellがショートカットの特定のパラメーターを正しく検証しないことに起因している。そのため、細工されたショートカットファイルのアイコンを表示すると、それだけで自動的にコードが実行されてしまう。
セキュリティベンダーがすでにこの脆弱性を悪用した標的型攻撃を確認しているが、今後は不特定多数に向けたドライブバイダウンロードが始まるおそれがある。この脆弱性を悪用してばらまかれる懸念のあるトロイの木馬型ウイルスについては、「Stuxnet」などのウイルス名で各社が対応を進めている。
■Webベースでのドライブバイダウンロード攻撃への懸念
現在の攻撃ツールとしては、USBなどのリムーバブルメディアが使われている。メディアをパソコンにつなぐと自動的にショートカットのアイコンが表示されてしまい、マルウェアに感染するという仕掛けだ。悪意ある細工をしたショートカットファイルは、このようなローカルファイルだけではなく、LANなどの共有フォルダ内にも置くことができるので警戒が必要だ。
また、攻撃を受けやすい共有フォルダとして見落としてはいけないのが、WebDAVをサポートしているWebサーバーの場合だ。WebサイトのフォルダがWindowsの共有フォルダとして機能しているため、インターネット上の共有フォルダが攻撃のターゲットになるおそれがあり、Webベースでのドライブバイダウンロード攻撃を受ける可能性が高い。
■早急に回避策の実施を
マイクロソフトでは現在この問題について調査中であり、修正パッチのリリースは調査終了後になる見込みだ。それまでの回避策として、公開されたアドバイザリでは「ショートカット用アイコンの表示を無効にする」、および「WebClient サービスを無効にする」という2つの方法が提示されている。
アイコン表示を無効にする回避策は、ローカル/リモートどちらにも有効で、これを実施すればWebClient サービスを無効にする必要はない。WebClient サービスを無効にする方法は、WebDAV からのリモート攻撃をブロックする回避策だ。ローカルやLAN内の攻撃は回避できないが、サイト閲覧でウイルスが自動的にインストールされるようなWebベースのドライブバイダンロード攻撃には有効だ。
攻撃の警戒レベルが上がっているため、早急に回避策を実施していただきたい。
(2010/07/20 ネットセキュリティニュース)
■マイクロソフト セキュリティ アドバイザリ (2286198)~Windows シェルの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx