最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ゴールデンウィーク前にセキュリティ対策を~セキュリティ機関が呼びかけ(2012/04/26) | メイン | ◆グーグル、5件の脆弱性を修正した「Google Chrome 18.0.1025.168」公開(2012/05/01) »

2012/04/27

◆Windowsコモンコントロールの脆弱性を突く攻撃コード公開~攻撃拡大のおそれ(2012/04/27)

マイクロソフトが今月11日に修正したばかりの、Windowsコモンコントロール(MSCOMCTL.OCX)の脆弱性を突く攻撃コードが、25日(現地時間)にインターネット上で公開された。この脆弱性は、すでに米国や日本、台湾など、世界各地で企業や政府機関を狙った攻撃に悪用されているが、不特定多数を狙う無差別攻撃に転用されるおそれがあり、被害の拡大が懸念される。

マイクロソフトによれば、MSCOMCTL.OCXの脆弱性は、更新プログラムの公開時にはすでに悪用する標的型攻撃が確認されていたという。その後、攻撃は世界各地に広がっており、17日には、IBM東京SOCが国内の組織をターゲットとした攻撃を検出している。

これまでに報告されている攻撃は、いずれも脆弱性を悪用するように細工した、RTF形式のDOCファイル(中身がリッチテキストフォーマットで、拡張子をMicrosoft Wordの文書で使われる「.DOC」にしたもの)をメールに添付し、企業や機関に送りつけるものだった。今回の攻撃コード公開により、不特定多数を狙ったメール攻撃やWebベースの攻撃にも悪用される可能性が高まっている。

公開された攻撃コードもまた、RTF形式のDOCファイルをキャリアに使い、Microsoft Word経由で攻撃を仕掛けるものだが、MSCOMCTL.OCXは、Internet Explorer(IE)から直接呼び出すこともできるため、ブラウザベースの攻撃に発展する可能性もある。

■Windowsコモンコントロール(MSCOMCTL.OCX)とは

MSCOMCTL.OCXは、マイクロソフトが開発したActiveX(アクティブエックス)と呼ばれる種類のプログラム部品のひとつだ。IE用のAdibe Flash Playerなども、このActiveXの形で提供されており、アプリケーションを開発する際にパーツとして利用したり、IEやMicrosoft Office製品のドキュメントから機能を利用したりすることができる。

このMSCOMCTL.OCXが提供する、ツリービューやリストビューの機能にコード実行の脆弱性があり、これを悪用して不正なプログラムを実行しようとするのが、現在行われている攻撃だ。MSCOMCTL.OCXに11日公開のセキュリティ更新プログラムが適用されていれば、攻撃を受けてもプログラムは実行できないので、ウイルスに感染してしまうことはないが、この「MSCOMCTL.OCX」には、少々厄介な一面がある。Windowsには標準で添付されておらず、Adobe Flash Playerのように単体での配布も行われていないのだ。

「MSCOMCTL.OCX」は、同社の開発ツールやOffice製品に添付されており、これらを使用して開発したアプリケーションと一緒に再配布される。セキュリティ更新プログラムは、これらのどれかと一緒に、MSCOMCTL.OCXがインストールされている場合にのみ適用されるので、最新のMSCOMCTL.OCXを入手する正式な方法は、古いMSCOMCTL.OCXを更新するか、更新済みのものを添付したアプリケーションをインストールするかのどちらかとなる。

■手動更新の場合、脆弱性が解消できないケースも

MSCOMCTL.OCXが未インストールだった環境に、Visual Basic 6.0などで開発された古いMSCOMCTL.OCXを含むアプリケーションをインストールした場合には、その時点で脆弱なMSCOMCTL.OCXがシステムに入り込み、攻撃を受けるリスクを負ってしまうので注意したい。Windowsが自動更新に設定されている場合には、次のチェック時に未修整のMSCOMCTL.OCXを自動検出し、セキュリティ更新プログラムが適用されるが、手動で更新している場合には、11日のWindows Updateをしたかどうかに関わらず、アプリケーションのインストール後に、改めてWindows Updateを行わないと脆弱性が解消できない。

MSCOMCTL.OCXの有無と更新状況は、「プログラムの追加と削除」や更新履歴からは確認できないようなので、手動更新の方はファイルやレジストリを調べて状況を把握し、未インストールの環境に後から入り込んだ、古いMSCOMCTL.OCXが居座ってしまうことのないよう注意を払っていただきたい。アプリケーションのインストール後には、念のためWindows Updateを実行するよう心がけるか、自動更新を有効にしておくことをお勧めする。

ちなみにMSCOMCTL.OCXは、通常は「%SystemRoot%\system32\MSCOMCTL.OCX」に置かれる(%SystemRoot%はたいてい「C:\Windows」で、64bit版Windowsの場合は「%SystemRoot%\SysWOW64\MSCOMCTL.OCX」)。脆弱性を修正した最新版のMSCOMCTL.OCXは、バージョンが「6.1.98.33」、サイズが1,070,352バイト。タイムスタンプは導入元によって異なるようで、Microsoft Office 2003やVisual Basicは、2011年11月4日。Microsoft Office 2010は2012年2月7日、2007は2012年2月14日となっている。

(2012/04/27 ネットセキュリティニュース)

【関連URL】
・MS12-027 - 緊急Windows コモン コントロールの脆弱性により、リモートでコードが実行される (マイクロソフト)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-027
・サポート技術情報:2664258
http://support.microsoft.com/kb/2664258/ja
・MS12-027の脆弱性を悪用するDocファイルが添付された不正なメールの送信を検知(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/virus_doc_20120418?lang=ja
・脆弱性「CVE-2012-0158」を突く標的型攻撃、世界各地で確認(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/5129

投稿情報: 10:10 |

|