マイクロソフトは4日、ウイルス「Duqu(デュークー)」による、Windowsの未修整の脆弱性悪用が判明したことを受けて、アドバイザリを公表した。
「Duqu」は先月、産業機器メーカーを狙う標的型攻撃で見つかったウイルスだ。このウイルスは、Wordのドキュメントファイルを介し、Windowsの未修整の脆弱性を悪用してシステムにインストールするようになっていた(*1)。
悪用された脆弱性は、Windowのシステムコンポーネントのひとつである「TrueTypeフォント」の解析エンジンの問題で、細工されたTrueTypeフォントの処理により任意のコードを実行されるおそれがある。サポートされている全てのエディションのWindows(Server Coreインストールオプションを適用したServer 2008/Server 2008 R2を除く)が影響を受ける。
マイクロソフトでは、脆弱性攻撃の回避策として、埋め込みフォントを機能しないようにする方法を提案。この回避策の有効化/無効化を自動的に行う「Fix it」を、サポート技術情報のページ(URL下記)で提供している。マイクロソフトの回避策の内容については、下記「解説」を参照していただきたい。
*1)ハンガリーのブダペスト工科経済大学のCrySyS(Laboratory of Cryptography and System Security)の解析による。
【解説:マイクロソフトが提案する回避策の内容】
Windowsは、システムプログラムを動かす「カーネルモード」と、アプリケーションなどの通常のプログラムを動かす「ユーザーモード」とに分離され、システムがアプリケーションなどの影響を受けないように保護している。カーネルモードは、システムの全権を持つ特権モードで、システムの中枢部(カーネル)がここで動き、メモリーやデバイスなどのさまざまなリソースと、配下のユーザーモードのプログラムを管理する。
問題が発覚したTrueTypeフォントの解析エンジンは、このカーネルモードのコンポーネントであるため、その脆弱性を悪用して実行されるコードは、全権を持つシステムの一部として動作し、あらゆる操作が自由に行えるという極めて深刻な事態を招く。
脆弱性を悪用するためには、細工したTrueTypeフォントをシステムに送り込む必要がある。フォントは、Windows附属の標準フォントと同様に、システムに恒久的にインストールする方法もあが、フォントをインストールさせたうえで攻撃を仕掛けるのは、あまり現実的ではない。より現実的な攻撃方法としては、「埋め込みフォント」を使う手法が考えられる。埋め込みフォントとは、ドキュメントやWebページに任意のフォントを使用する技術のこと。配布するドキュメントに細工したフォントを埋め込んだり、Webページから一時的にインストールさせたりすることによって、脆弱性の悪用が可能になる。
埋め込みフォントを攻撃に用いたドキュメントやWebページは、閲覧するだけでウイルスに感染してしまう可能性がある。マイクロソフトは、この埋め込みフォントを使った脆弱性攻撃の回避策として、埋め込みフォントを処理するコンポーネント「T2EMBED.DLL」へのアクセスを拒否し、埋め込みフォントを機能しないようにする方法を提案した。
(2011/11/07 ネットセキュリティニュース)
【関連URL】
・セキュリティ アドバイザリ (2639658):TrueType フォント解析の脆弱性により、特権が昇格される(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/advisory/2639658
・サポート技術情報(2639658)
http://support.microsoft.com/kb/2639658