Japan [変更] |アカウント |ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

Cisco Security Agent

CSA による MS06-035 からの保護
ダウンロード

Product Bulletin




Cisco Security Agent および Microsoft MS06-035 に関するセキュリティ情報:Server サービスの脆弱性により、リモートでコードが実行される問題

概要

2006 年 7 月 11 日、Microsoft Windows 2000、Windows XP および XP Professional、Windows 2003 Server オペレーティング システムを対象とした、重大な脆弱性が発表されました(http://www.microsoft.com/technet/security/Bulletin/MS06-035.mspx)。Server サービス ドライバ(SRV.SYS)にはリモートでのコード実行に関する脆弱性があり、この脆弱性を攻撃者に悪用された場合、影響を受けるシステムが完全に制御される可能性があります。マイクロソフト社はこのような脆弱性を持つオペレーティング システムに対し、自社 Web サイト(www.microsoft.com)で更新プログラムを公開しています。

シスコシステムズはエクスプロイト ファイルを入手し、Cisco® Security Agent でデフォルトのセキュリティ ポリシー設定を使用することで、こうしたエクスプロイトを阻止する効果があることを確認しました。現在サポート中のバージョンである Cisco Security Agent 4.0.3.x、4.5.1.x、5.0.0.x、および 5.1.0.x は、今までに確認されているエクスプロイトを防ぐうえで効果的です。


脆弱性の詳細情報

1 つめの脆弱性は、Microsoft Mailslot サーバ サービスに含まれる、バッファ オーバーフローに関する脆弱性です。これにより、脆弱性を持つ Microsoft Windows オペレーティング システムのインストール環境において、攻撃者はリモートで任意のコードを実行できる可能性があります。Mailslot は、TCP または UDP を使用してホスト間のデータ転送を円滑に行う一時的な機能です。Mailslot メッセージの処理中には、バッファ オーバーフローが発生する可能性があります。この脆弱性の悪用に対して認証は行われず、コードはカーネル コンテキスト内で実行されます。マイクロソフト社の発表によると、この脆弱性の悪用によって、影響されるシステムが予期せず再起動される可能性が最も高く、DoS 攻撃(サービス拒絶攻撃)の状態となります。

2 番めの脆弱性は、サーバ プロトコル ドライバ内の初期化されないバッファが原因で生じます。この脆弱性が攻撃者に悪用された場合、転送中にサーバ メッセージ ブロック トラフィックの保存に使用されるメモリの一部を、リモートで読み取られる可能性があります。


Cisco Security Agent によるエクスプロイトの阻止

Cisco Security Agent のデフォルト ポリシーにはバッファ オーバーフローを防止するルールが含まれており、この種のエクスプロイトによる被害を回避できます。こうした保護を実行するために、Cisco Security Agent のバイナリまたはデフォルト設定を変更する必要はありません。

デフォルトのセキュリティ ポリシーを適用した Cisco Security Agent では、以下のアクションがブロックされることが確認されています。

  • バッファ オーバーフローによる、バッファからのシステム機能の実行

図 1 に、このテスト結果を示します。

シスコでは、エージェントをプロテクト モードにしてエクスプロイトをテストしました。プロテクト モードでは、悪意ある振る舞いがブロックされます。エージェントをプロテクト モード(一般的な動作設定)にすると、最初のルールによってエクスプロイトが阻止されます。エクスプロイトは悪意ある動作を実行する前に処理され、以降のイベントは発生しません。

テストは、Cisco Security Agent のデフォルト ポリシーに対して実施しました。Cisco Security Agent を有効に機能させるために、バイナリまたはポリシーの更新は必要ありませんでした。つまり、文字通りの「Day Zero」保護のテストだと言えます。シスコでは、過去のエクスプロイトおよびワームの場合と同様に、バイナリまたはポリシーの更新を実行することなく、Cisco Security Agent のデフォルト設定によってエクスプロイトを阻止できることを確認しました。次のリストは、Cisco Security Agent のデフォルトのセキュリティ ポリシー設定によって阻止された、過去のワームおよびエクスプロイトの一部を示します。

※ 画像をクリックすると、大きく表示されます。popup_icon

今回のエクスプロイトは、組織のコンピューティング環境およびネットワーク環境に深刻な打撃を与え、発生と変化を続ける攻撃の 1 つにすぎません。このような新たな攻撃による被害を防止するために重要となるのは、デフォルト設定に変更を加えることなく攻撃を阻止できる能力であり、デフォルト ポリシー内のさまざまなルールによる多層型防御の実現です。

図 1 Cisco Security Agent のデフォルト設定による Microsoft MS06-035 エクスプロイトの阻止(Cisco Security Agent 5.1 でテストを実行)

図 1 Cisco Security Agent のデフォルト設定による Microsoft MS06-035 エクスプロイトの阻止(Cisco Security Agent 5.1 でテストを実行)
※ 画像をクリックすると、大きく表示されます。popup_icon

お問い合わせ

0120-092-255
(導入ご検討のお客さま)
お問い合わせ先一覧はこちら