Windowsの未修整の脆弱性を悪用し、ウイルスに感染させようとする攻撃が発生している問題で、マイクロソフトは21日、アドバイザリを更新し、攻撃を回避するために必要な設定を自動的に行う「Fix It」を公開した。
この問題は、Windowsのショートカットファイルの取り扱いに起因するもので、細工されたショートカットのアイコンを表示すると、任意のコードが実行されるおそれがあるというもの。当初は、USBメモリーなどのリムーバブルメディアを介して特定のシステムを狙う、限定的な攻撃が確認されているだけだったが、その後、Webベースの攻撃コードがインターネット上で公開。Officeの文書ファイルなどのオブジェクトの埋め込みをサポートするファイルに、細工したショートカットを埋め込む手法でも攻撃できることも分かっており、被害の拡大が懸念されている。
同社は、16日付のアドバイザリで、ショートカット用のアイコン表示の無効化と、WebClientサービスの無効化という、2種類の回避策を提示していた。
前者は、問題の発生源であるアイコンの処理を止め、脆弱性そのものを悪用できないようにしてしまう方法。ローカル/リモートいずれの攻撃にも有効だが、レジストリを直接操作しなければならないため難易度が高かった。
後者は、インターネット上のWebDAV共有フォルダを使ったWebベースの攻撃を防ぐためのもので、比較的簡単に設定できるが、USBメモリーなどのローカルドライブやLAN内の共有フォルダ経由の攻撃に対しでは無防備だった。
今回公開されたFix Itは、操作は面倒だが最も有効な回避策となる、ショートカット用アイコンの表示設定を自動的に行う。当初発表された通常のショートカット(拡張子.LNK)に加え、MS-DOSプログラムへのショートカット(拡張子.PIF)でも同じ問題が発生することが分かっており、公開されたFix Itでは、両方のアイコンの表示設定に対応している。回避策をまだ実行していない方はもちろん、LNKファイルだけしか対策していない方も、改めて下記「サポート技術情報2286198」のFix Itを実行するようおすすめする。
なお、ショートカットのアイコン表示を無効化すると、スタートメニューやデスクトップ、タスクバーなど、いろいろな場面で表示されるショートカットのアイコンが、すべて白や同じ図柄のアイコンになってしまう。アイコンのみで名前が表示されない場面では、識別できなくなってしまうので注意していただきたい。
(2010/07/22 ネットセキュリティニュース)
■サポート技術情報2286198(マイクロソフト)
http://support.microsoft.com/kb/2286198
■セキュリティアドバイザリ (2286198) Windows シェルの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx