【OS】Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染 [10/07/20]

IT

1 名前:依頼@@@@ハリケーン@@@φ ★[] 投稿日:2010/07/22(木) 12:29:34 ID:???
 マイクロソフトは2010年7月17日、Windowsに新たな脆弱(ぜいじゃく)性が見つかったこ
とを明らかにした。Windows上で、細工が施されたショートカットファイルのアイコンを表示
するだけで、ウイルスを実行される危険性などがある。実際、今回の脆弱性を悪用したウイ
ルス攻撃(ゼロデイ攻撃)が確認されている。セキュリティ更新プログラム(修正パッチ)
は未公開。同様の攻撃が広まるのは時間の問題だとして、セキュリティ企業各社は注意を呼
びかけている。


 今回報告されたのは、ショートカットファイル(拡張子がlnk)の処理に関する脆弱性
細工が施されたショートカットファイルのアイコンを、エクスプローラーなどで表示するだけ
で、そのショートカットファイルで指定されたファイルが勝手に実行されるという。


 例えばあるフォルダーに、細工を施したショートカットファイルと、ウイルスファイルを
用意。ショートカットファイルでは、そのウイルスを指定しておく。すると、ユーザーが
そのフォルダーを開いただけで、ショートカットファイルがウイルスを実行。ウイルスに
感染することになる。


 実際、今回の脆弱性を悪用したウイルス攻撃が確認されている。この攻撃ではUSBメモリ
が使われている。攻撃用のUSBメモリーには、悪質なショートカットファイルとウイルスが
保存されている。このUSBメモリーをパソコンに接続し、保存されているファイルを表示する
だけで、ウイルスに感染してしまう。


 一般的なUSBメモリー悪用ウイルス(USBウイルス)とは異なり、自動再生(自動実行)機能
を無効にしていても防げない。USBメモリーの中身をエクスプローラーで表示するだけで被害
に遭う恐れがある。


 また、今回の脆弱性は、USBメモリーを使わなくても悪用可能とされている。Windowsのファ
イル共有やWebDAV経由でも悪用できるという。例えば、ファイルサーバーやWebサーバーに
悪質なショートカットファイルとウイルスを置いておけば、該当のフォルダーを開いただけ
でウイルスに感染する。


 現時点では、今回の脆弱性を悪用した攻撃は限定的だという。だが、脆弱性の悪用が容易
であり、なおかつ悪用方法が公開されているため、セキュリティ組織のサンズ・インスティ
チュートなどでは、攻撃が広まるのは時間の問題としている。


 影響を受けるのは、現在サポート対象となっているすべてのWindowsWindows 7Windows
Server 2008 R2といった最新版のOSも影響を受ける。Windows 2000Windows XP SP2は「影
響を受けるソフトウェア」に含まれていないが、これは、2010年7月14日にサポートが終了し
たため。サンズ・インスティチュートなどでは、これらも影響を受けるだろうとしている。


 修正パッチは未公開。マイクロソフトでは、回避策として「ショートカットファイルのア
イコンを表示しないようにする」「(WebDAVで利用される)WebClientサービスを無効にする
」を挙げている。これらの具体的な手順は、マイクロソフトの情報に詳しい。


 ただしセキュリティ企業などは、これらの回避策は現実的ではないと指摘。特に企業や組織
などでは、実施するとユーザーが混乱するだろうとしている。


 そのほかの回避策としては、ウイルス対策ソフト(セキュリティソフト)の利用を挙げて
いるところが多い。対策ソフトの多くは、最新の定義ファイル(パターンファイル)におい
て、悪質なショートカットファイルや、そのファイルに実行されるウイルスに対応している
という。



マイクロソフトの情報
http://www.microsoft.com/japan/technet/security/advisory/2286198.mspx


ソース:PC online
http://pc.nikkeibp.co.jp/article/news/20100720/1026250/


今回の脆弱性を悪用した攻撃例(英ソフォスのデモ動画から引用)。USBメモリーの中身を
表示するだけで、ショートカットファイルがウイルスを実行する
http://pc.nikkeibp.co.jp/article/news/20100720/1026250/ph1.jpg

  • 以上-

3 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 12:31:10 id:m7TnqsXj
ウィルスへのショートカット


4 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 12:35:28 id:vufj4Kee
これでも、アップルの脆弱性がmsの5倍って事実の方が怖い。
マイナーな分、発見も遅いし、アップルだから対応も怪しいし。


5 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 12:38:30 ID:87AZD86m
WebDAVもやばいのかよ('A`)


6 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 12:38:36 ID:ROVFkCvN
コマンドラインで業務を行っている俺に隙はなかった


▼ 28 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:05:08 ID:BS3fSfZq
>>6
まあなw


9 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 12:42:57 ID:N3/qoV4+
Windows怖えwww


10 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 12:44:36 ID:8RXn2rZL
よかったぜ、未だにMS−DOSで!!


11 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 12:45:08 ID:bgHUlwy9
またMS謹製のウイルスか
サポート終了と同時にくるよな


105 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 17:32:52 ID:bSeNkBq7
トヨタなら1兆円絞られるレベル


15 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 12:49:33 ID:benTimtC
俺女子高生だからよくわかんないんだけど、
ショートカットって相対パスで作れるもんなの?
絶対パス(若しくは環境変数を含むパス)しか駄目なら
意図したパスにウイルスを保存させないと駄目でしょ?


▼ 31 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:07:04 ID:TP6uEiiv
>>15
俺も女子高生だからよく解らないんだが
別に相対パス関係ないんじゃない?


22 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 13:00:50 ID:8ToGP/Np
回避策


ショートカット用アイコンの表示を無効にする


回避策の影響: ショートカット用のアイコンの表示を無効にすることで、
影響を受けるシステム上でこの問題が悪用されることを防ぎます。
この回避策の実装後、システムが大部分のアイコンを「白色」の
既定のオブジェクトアイコンで示し
ユーザービリティに影響を及ぼす可能性があります。


「大部分のアイコンを「白色」の既定のオブジェクトアイコンで示し」
「大部分のアイコンを「白色」の既定のオブジェクトアイコンで示し」


え゛、これってアイコンみーんなマッシロケになるって事?w


「ユーザービリティに影響を及ぼす」


というか、アイコン判別できなくなりw
ダメダメじゃんwww


▼ 30 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:06:53 id:OqpKoDyR
>>22
ショートカットだけだから、まぁギリギリなんとかなるかもしれない程度


29 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:05:28 ID:l+9VP8Uc
WebClientサービスなんて使ってるの?
鬱陶しいから速攻で無効にしてるんだが


36 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 13:15:02 ID:iUclIxzq
「細工したショートカット」の原理がわからんな?なぜ開示しないんだ?
数行で説明できるだろw 超うさんくさいニュースだなwww


41 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:22:13 ID:qg17OIxi
アイコンの上にマウスを持っていくと「説明文」が表示されるだろ。


マウスオーバーによってイベントが発生して、設定していれば「説明文」を表示する。
このプロセスに実行ファイルの実行を割り込ませる手口が見つかったと言うことだと思う。
これは使用者にexeファイルを誤実行させてウイルスが働くという次元を超えているから
WindowsOSの根幹を揺るがすヤバサだよ!


▼ 46 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 13:27:09 id:iUclIxzq
>>41
ポップアップ窓の事か?ねぇよw
バイナリを細工しようが文字表示するだけのロジックだぞ?


▼ 48 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:31:37 id:qg17OIxi
>>46
そのロジックにexe実行の割り込みを突っ込んだんじゃないの?
もしそうだとするとWindows終了のレベル


▼ 52 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 13:35:54 ID:iUclIxzq
>>48
そこんとこのプログラム担当した奴が exe を実行するコードを意図的に仕込まない限り起きないよ。
バグとか穴とかいうレベルじゃねーぞ!


▼ 55 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:41:10 ID:qg17OIxi
>>52
しかしウイルス感染のイベントがマウスオーバーしかないんだから
そのテキストに実行コードが入ってるんじゃないの?


59 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 13:46:21 id:bPz9LlqA
実行ファイル自体がウイルスならセキュリティソフトで対応できるジャン


▼ 60 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:50:35 id:EoRnkC8E
>>59
Anti-Virus が定義する Virus なら検出されるだろうけど、
勝手にファイルを消しまくるプログラムとかだったら検出できん。
危害を加えようと思えばいくらでも可能。


62 名前:名刺は切らしておりまして[age] 投稿日:2010/07/22(木) 13:51:56 id:QmjYrclQ
相変わらず騒ぐだけ騒いで対処法には踏み込まない件w
おまえらウイルス議論は良いけど肝心の対策はしなくて良いの…?
ああもうすでに対策済みなのね、それは失礼しました


…まだ対策してない、って奴は↓
http://support.microsoft.com/kb/2286198


英語だけどw


要は、↑のページの真ん中あたりにある、工事のオッサンのアイコンをクリックして、
「Fix this problem Microsoft Fix it 50486」を実行すればok
マイクロソフトが全自動でEnable workaroundしてくれますw


ちなみに、やっぱキャンセルって時でも、隣のオッサンのアイコンをクリックするだけok
Disable workaround、つまり「Microsoft Fix it 50486」をチャラにしてくれる


あとは、
スタート → コンピュータ → 右クリックで管理 → サービス
サービスの一覧の中から「WebClientサービス」探して「無効」
(※スタートアップ時の設定も無効にしておく事)


つうか>>29だろ普通のクライアントPCなら、っていうね
以上おわり


▼ 73 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 14:09:27 ID:LW/XwlnX
>>62みたいに対策しないと駄目な感じ?


▼ 75 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 14:25:38 ID:TP6uEiiv
>>73
対策は鰯の頭をお守りとする程度のレベル。


ルーターの電源落として、必要なデータは
全部手打ち入力、出力は画面見ながら紙に
手書きする必要がある。


それが嫌なら
MS-DOSまでダウングレードするか
Linux等に代替すればおk


76 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 14:29:42 ID:ZQLOt8X6
フォルダX
・ショートカットファイル(細工を施した=ウイルスファイルを指定)
・ウイルスファイル


フォルダXをエクスプローラで開く

ショートカットファイルが勝手に実行される

ウイルス.exeを実行して感染


エクスプローラ上でショートカットファイルを表示させると感染


通常はエクスプローラを開くと、そのパスにあるファイル名と対応するアイコンが表示される
この「アイコンを表示する」というイベントで「ウイルスを実行」させてしまう


結局アイコンが表示されただけで実行されるというところが通常はあり得ないんだけど
ショートカットのパス指定みたいなところにそういう細工ができるということですよね。


79 名前:名刺は切らしておりまして 投稿日:2010/07/22(木) 14:35:10 ID:8XW4jjTG
検索して、ようやく実際のファイルと解説を発見
http://www.ivanlef0u.tuxfamily.org/?p=411
にある「suckme.rar」を展開した「suckme.lnk_」が実例

 
lnkファイルの後半をバイナリで書き換えることで、
「リンク先」を任意の文字にすることができる

 
リンク先が実在のファイルかどうか
マイクロソフトはいちいち確認していなかったのが
理由のようだわ。

 
ま、lnkファイルが勝手にPCに侵入してくるわけではないから
それほど危険とは思えない。
このままXpを使い続けよう


▼ 82 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 14:42:25 id:ZQLOt8X6
>>79
lnkファイルのリンク先を書き換えてしまうことはぜんぜん難しいことではないんだが
問題はフォルダを開いただけで表示されるlnkファイルアイコンのショートカットが
実行されてしまうと言うことだろ?
システムファイルを上書きされて実行されるウイルスより驚異は少ないと思うけど
問題はショートカットのリンクが不正に書き換えられても解らないことだね。


▼ 86 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 14:50:56 id:wy8nk91W
>>79
suckme.rar 落としただけでMSEに怒られた
やるじゃんMSE


32 名前:名刺は切らしておりまして[sage] 投稿日:2010/07/22(木) 13:08:04 id:qg17OIxi

インターネットのしくみ
  ∧_∧
  (  ・ω・)     取りあえずアイコンを表示してと
_(__つ/ ̄ ̄ ̄/
  \/     /
     ̄ ̄ ̄\ (ウイルス)  (クレカ情報)(パスワード)(個人情報)
          \┗(^o^ )┛  ┗( ^o^)┛  ┗( ^o^)┛  ┗( ^o^)┛
            \┏┗      ┛┓     ┛┓      ┛┓
              ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

http://anchorage.2ch.net/test/read.cgi/bizplus/1279769374/