Japan [変更] |アカウント |ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

Cisco Security Agent

CSA および Windows アニメーション カーソルにおけるスタック オーバーフローの脆弱性(ANI ゼロデイ)エクスプロイト
ダウンロード

Product Bulletin




Cisco Security Agent および Windows アニメーション カーソルにおけるスタック オーバーフローの脆弱性(ANI ゼロデイ)エクスプロイト

概要

Microsoft Windows Vista、NT、2000、2003、XP の各オペレーティング システムにおいて、アニメーション カーソル ファイル(.ANI)に脆弱性が発見されています。この脆弱性が悪意のある Web ページまたは HTML 形式の E メール メッセージによって攻撃されると、ログイン ユーザの権限を使用したリモートでのコード実行が可能になります。1

このエクスプロイトで注目される点は、2 年以上前(2005 年 1 月)に MS05-002のパッチで修正された脆弱性を攻撃するものと本質的に同じであることです。当時 Microsoft 社は修正プログラムを公開しましたが、これは完全なものではありませんでした。このパッチでは、ファイル内の最初のカーソルの長さを調べて、その長さが正しくない場合に処理を拒否します。今回のエクスプロイトは単純に、同一ファイル内で最初のカーソル(適正な形式)の後ろに 2 番めのカーソル(不正な形式)を付け加えるものです。Microsoft Vista など現在運用されているオペレーティングシステムは、この問題のあるコードを継承しているため、Vista においても 2 年前の脆弱性をかかえていることになります。

この脆弱性を悪用したさまざまな攻撃がすでに出回っています。シスコではエクスプロイト ファイルを入手し、Cisco Security Agent のデフォルトのセキュリティ ポリシー設定を使用することで、これらのエクスプロイトを阻止する効果があることを確認しました。現在サポートされている Cisco Security Agent 4.5.x、5.0.x、5.1.x、5.2.x の各バージョンはすべて、現在までに確認されているエクスプロイトに対して有効に機能します。


脆弱性の詳細情報

この脆弱性の詳細情報は、Microsoft 社1 および Computer Incident Response Team(CERT)2 が文書で公開しています。

アニメーション カーソルは、マウス ポインタの表示場所に 1 つのイメージではなく一連のフレームを連続的に表示する機能で、短いアニメーションが繰り返されます。アニメーション カーソル機能は拡張子 .ani のファイルとして提供されますが、Windows Explorer では、.ani、.cur、.ico など、何種類かの別のファイル拡張子でも ANI ファイルとして処理されます。スタック バッファ オーバーフローの脆弱性は、Microsoft Windows が不正な形式のアニメーション カーソル ファイルを処理する際に、ANI ヘッダに指定されているサイズを適切に確認できない点にあります。

攻撃者は特殊な細工のある Web ページを作成することにより、この脆弱性を悪用しようとします。また、特殊な細工のある E メール メッセージを作成して、対象のシステムに送信する場合もあります。Web ページを閲覧する、または特殊な細工のあるメッセージをプレビューするか読む、あるいは特殊な細工のある E メールの添付ファイルを開くと、攻撃者は侵入したシステムでコードの実行が可能になります。アニメーション カーソルは一般的に拡張子 .ani に関連付けられていますが、このファイル タイプでなくても攻撃を成功させることができます。


Cisco Security Agent によるエクスプロイトの阻止

Cisco Security Agent のデフォルト ポリシーには複数のルールが含まれており、エクスプロイトによる被害を回避することができます。こうした保護を実行するために Cisco Security Agent のバイナリを更新したり、デフォルト設定を変更する必要はありません。

デフォルトのセキュリティ ポリシーを適用した Cisco Security Agent では、次のアクションがブロックされることが確認されています。

  • バッファ オーバーフローによる、バッファからのシステム機能の実行
  • 最近ダウンロードされたアプリケーションによるシステム ファイルの修正
  • システム ファイルの修正
  • ネットワーク プロセスによるコマンド シェルの実行
  • Windows プロセスによるキーストロークのキャプチャ
  • コードの挿入

図 1 にこのテスト結果を示します。

図 1 Cisco Security Agent のデフォルト設定による ANI ゼロデイ エクスプロイトの阻止(Cisco Security Agent 5.2 における検証)

図 1 Cisco Security Agent のデフォルト設定による ANI ゼロデイ エクスプロイトの阻止(Cisco Security Agent 5.2 でテストを実行)
※ 画像をクリックすると、大きく表示されます。popup_icon

注:シスコでは、エージェントをテスト モードにしてエクスプロイトをテストしました。テスト モードでは、悪意のある動作に対して警告を発行します(ブロックはしません)。これにより、Cisco Security Agent のデフォルト ポリシーがエクスプロイトを阻止するあらゆる方法について確認できます。エージェントをプロテクト モード(一般的な動作設定)にすると、最初のルールによってエクスプロイトが阻止されるため、悪意のある動作を実行する前にエクスプロイトが処理され、以降のイベントは発生しません。

テストは、Cisco Security Agent のデフォルト ポリシーを対象に実施しました。Cisco Security Agent を有効に機能させるために、バイナリまたはポリシーの更新は必要ありませんでした。つまり、文字通りの「Day Zero」保護のテストだと言えます。シスコでは、過去のエクスプロイトおよびワームの場合と同様に、バイナリまたはポリシーの更新を実行することなく、Cisco Security Agent のデフォルト設定によってエクスプロイトを阻止できることを確認しました。次のリストは、Cisco Security Agent のデフォルトのセキュリティ ポリシー設定によって阻止された、過去のワームやエクスプロイトの一部を示します。

表 1

       
エクスプロイト ワーム エクスプロイト ワーム
Bagle E メール ワーム MS06-035 OS の脆弱性
BigYellow ネットワーク ワーム MS06-040 OS の脆弱性
Blackworm ネットワーク ワーム MS06-070 OS の脆弱性
Blaster ネットワーク ワーム MS07-014 アプリケーションの脆弱性
Bugbear E メール ワーム Excel hlink.dll アプリケーションの脆弱性
Code Red ネットワーク ワーム MS RDS ActiveX OS の脆弱性
Debploit ネットワーク ワーム MS XML Core Svs OS の脆弱性
Fizzer E メール ワーム Nimda ネットワーク ワーム
Gator/GAIN スパイウェア Pentagone/Gonner E メール ワーム
Hotbar スパイウェア Sasser ネットワーク ワーム
HTTP Dir Traversal Web サーバの脆弱性 Sircam E メール ワーム
IE Text Range アプリケーションの脆弱性 Sobig E メール ワーム
IE VML BO アプリケーションの脆弱性 Storm Trojan E メール ワーム
SQL Slammer ネットワーク ワーム WMF 0day OS の脆弱性
SQL Snake ネットワーク ワーム Word BO アプリケーションの脆弱性
JPEG/GDI+ マルウェア ダウンローダ W32.Rinbot.H ネットワーク ワーム
MyDoom E メール ワーム Zotob ネットワーク ワーム


今回のエクスプロイトは、組織のコンピューティング環境およびネットワーク環境に深刻な打撃を与え、発生と変化を続ける攻撃の 1 つにすぎません。このような新しい攻撃を阻止するために重要なことは、デフォルト設定に変更を加えることなく攻撃を阻止できる能力、およびデフォルト ポリシー内のさまざまなルールによる多層型防御の 2 点を実現することです。

1 Microsoft:http://www.microsoft.com/technet/security/advisory/935423.mspx

2 CERT Advisory:http://www.kb.cert.org/vuls/id/191609

お問い合わせ

お問い合わせ先一覧はこちら