【OS】Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染 [10/07/20]

このエントリーをはてなブックマークに追加
132名刺は切らしておりまして
>>129
もうデジタル証明書は安全じゃないの?
これが崩壊するとMSやパーツメーカーとかからのパッチ&ドライバ類まで信用出来なくなるんだけど。。。
133名刺は切らしておりまして:2010/07/23(金) 11:27:39 ID:uCV2rRWc
どんだけ貧弱なんだよw
134129:2010/07/23(金) 11:36:40 ID:Zsk2kIJG
>>132
今回rootkitに使われてたのはベリサインで早速revokeされて、現在は失効状態
実はデジタル署名入りマルウェアは既に相当出回っている
http://www.f-secure.com/weblog/archives/00001973.html

今回はパーツメーカーの本物の証明書が盗まれたのが問題で、盗まれたことが分かるまでは
ダウンロードしたファイルだけ見ても正当かどうか判別できない

ベンダーのパッチとかはモジュール自体に加えて転送経路上の相手確認(https使ってればOK)も
必要になると思う
少なくとも第三者のサイトやP2Pなんかで落としたファイルは疑った方がいい
135名刺は切らしておりまして:2010/07/23(金) 11:57:22 ID:I3ZED4fb
>>134
>少なくとも第三者のサイトやP2Pなんかで落としたファイルは疑った方がいい

疑うと言っても1ユーザーの身ではどうしようも。。。
p2pを使うほど巨大なパッチやドライバはあんま無いけど、第三者のサイトからなんかはしょっちゅうあるわー
ユーザー側で整合性を確認する有効な方法など>>129さん的に疑う方法への具体案って何かある?参考にしたい
136129:2010/07/23(金) 12:39:11 ID:1xyjn1C1
>>135
公式提供者が、モジュールのメッセージダイジェストをhttpsのサイトで公開してれば
ダウンロードしたモジュールと比較して同一確認できるんだけど・・・
正直そういうサイトはあまり見たことがないです
現実的には、既知のウィルス感染チェックだけならvirustotalでできる
http://www.virustotal.com/jp/

というより一般論として第三者のサイトにあるドライバはやめた方がいいと思うがどうでしょう
httpsでなくても、正規のURLにあれば少なくとも
・DNSポイズニング等による偽サイトへの誘導
・(盗んだ)証明書によるモジュールの偽装
の二段階が成功しなければ、攻撃者はモジュールをダウンロード・実行させられないので
137名刺は切らしておりまして:2010/07/23(金) 13:39:41 ID:I3ZED4fb
>>136
virustotalは頻繁に使ってる
使ってるからこそわかる誤検出率(もちvirustotal自体が悪いわけじゃなくてね)

>メッセージダイジェスト
メッセージダイジェスト=(イコール)=CRC、MD5、SHA、AESなどのハッシュ関数って認識でおk?
それとも違う事象を指してる?

>第三者のサイトにあるドライバはやめた方がいい
うー耳が痛いw
「未対応ハード対応」や「非公式のbagfix版」と聞くとどうも食指が。。。
やっぱユーザーがまず出来るのは自ら地雷原に足を踏み入れないってことか
138名刺は切らしておりまして:2010/07/23(金) 13:45:54 ID:w0w4ajjt
前から分かってたけど、サポートが切れるまで黙ってたんだろ?
139129:2010/07/23(金) 13:53:40 ID:8WDlMgM3
>>137
>メッセージダイジェスト=(イコール)=CRC、MD5、SHA、AESなどのハッシュ関数って認識でおk?
おk ハッシュ関数というかハッシュ値ね

ドライバは特権モードで動作して何かあったときの危険性が高いので純正品に限った方が
いいと思います セキュリティ上は
140名刺は切らしておりまして:2010/07/23(金) 14:41:52 ID:I3ZED4fb
>>139
丁寧にサンクス

最後の質問!
>>129さんはそういった知識をどういったサイトや書籍で勉強してるの?
なにかオススメのサイト(もしくは書籍)よろ
もし非公開サイトならヒントだけでも
141名刺は切らしておりまして:2010/07/23(金) 15:56:31 ID:OGyOf/3H
さすがにこれはサポートしてほしいわな>>2k
windows全バージョン共通とかどんだけ
142129:2010/07/23(金) 16:20:39 ID:9nXvAL0q
>>140
英語が多くなっちゃうのは避けられないのですが・・・
http://www.sans.org/
セキュリティトレーニングを有償で行う組織だけど、無料で読める資料がたくさん(resourcesから)
最新動向はここ >>1の脆弱性も7/16, 20, 21に触れられてます
http://isc.sans.edu/

日本語で基礎技術からまとめているところは・・・ みんながイヤがるIPA情報セキュリティ
http://www.ipa.go.jp/security/index.html
リアルタイム情報を個人でまとめているサイトは
http://www.st.ryukoku.ac.jp/~kjm/security/memo/  (←有名だけど好き嫌いあり)
http://www.underforge.net/   (ただしリンク先はほとんど英語)
あとはアンチウィルスベンダー各社のBlog
http://blog.f-secure.jp/
http://www.symantec.com/business/security_response/weblog/
http://blog.trendmicro.com/

MS製品は直接セキュリティレスポンスチームのサイトを見るのがよいです
http://blogs.technet.com/b/msrc/
http://twitter.com/msftsecresponse  (←公式チームのTwitter)

あとはこれらからのリンクで大体カバーできるかと
ほとんどRSSなどのフィードが提供されてます

ちなみに日経(日経BP、ITpro, ITmedia)のサイトは基本的に海外のセキュリティサイトに
公開された情報を1日遅れぐらいで日本語訳して公開してるだけなのでリアルタイム性には欠けます
143名刺は切らしておりまして:2010/07/23(金) 17:18:38 ID:9YITvjah
これはつこうたで流行るな
自分はmacで開くから問題ないけど
144名刺は切らしておりまして:2010/07/23(金) 18:14:14 ID:I3ZED4fb
>>142
全部お気に入り登録完了(`・ω・´)ゞ
勉強させてもらいます!
145名刺は切らしておりまして:2010/07/23(金) 18:56:08 ID:JTdVu7Hv
つこうたつうか普通に流行るだろ
対策されるまで防ぎようがないし
146名刺は切らしておりまして:2010/07/23(金) 22:59:33 ID:yEquRkt3
Panda Security Japan ブログ
http://pandajapanblogs.blogspot.com/
147名刺は切らしておりまして:2010/07/23(金) 23:13:13 ID:3ULb0S8S
CDboot Ubuntu最強だな
パソコンに一切痕跡のこらないし、
緊急時にはもってこい
148名刺は切らしておりまして:2010/07/24(土) 00:43:43 ID:qcw3m/7c
アンチウイルスソフトで対策出来ないもんかね
149名刺は切らしておりまして:2010/07/24(土) 02:00:22 ID:PYWtxNZ9
>>148
>>86
150名刺は切らしておりまして:2010/07/24(土) 03:08:49 ID:qcw3m/7c
読んでなかったごめんね
151名刺は切らしておりまして:2010/07/24(土) 12:01:07 ID:tevb3WTQ
http://www.virustotal.com/analisis/2bf5d0fc31a6798a1997dfc373d9a904ee41c8ca96a0dd05b014d26a6c1ffb0e-1279938292
152名刺は切らしておりまして:2010/07/24(土) 12:09:35 ID:eIqnAG7/
久々にお手軽でやばい脆弱性だな。Windows 2000おわった\(^o^)/

って、これわざとだろw
153名刺は切らしておりまして:2010/07/24(土) 12:23:57 ID:lUe8ta+y
Windowsを使わないのが一番
GoogleもWindowsを辞める
154名刺は切らしておりまして:2010/07/24(土) 13:12:03 ID:lFdq0IUa
もう実証コードもあるし
ネット上で妙な圧縮ファイルを拾う→解凍→細工されたショートカット表示→同梱のワームやら何やら裏で実行→\(^o^)/
みたいなのが頻発しそうだな
155名刺は切らしておりまして:2010/07/24(土) 15:24:04 ID:CWzUMLuo
>>86
バスターも反応した
156名刺は切らしておりまして:2010/07/24(土) 23:01:55 ID:VsTI2TIC
なんかそのうちサイバーテロも起こりそうだな
157名刺は切らしておりまして:2010/07/25(日) 01:05:00 ID:0mTmSjd8
やばいage
158名刺は切らしておりまして:2010/07/25(日) 01:23:21 ID:End4rrML
余計なことして動かなくなったり、変な連中招き入れたり、鬱陶しいメッセージを繰り返し出したり
役人と同じだな
159名刺は切らしておりまして:2010/07/25(日) 01:32:20 ID:hnkCjpNM
>>158
税金で人類を苦しめてるところも同じだな。
160名刺は切らしておりまして:2010/07/25(日) 01:42:09 ID:VjU+YF0Z
このスレに今回の脆弱性を分析してる人がたくさんいるけど、
正確な情報は一つもないので、信用しない方がいいよ。

今回の問題は、元々コントロールパネルアイコンの表示処理に問題があり、
リンクターゲットからのアイコンリソース読み込みの際に、
それがリモートにあろうと関係なしに単純にLoadLibaryW()しており、
DllMain()が走ってしまうという点にある。

で、うまく細工したショートカットを作ると、この処理を走らせることができ、
攻撃側が用意した不正なDLLの読み込み・実行をさせることができる。

この攻撃は、単純にエクスプローラでのアイコン表示以外に、
IEでのWebDAVアクセスでフォルダ表示への自動切り替えが発生するようなケースでも発動する。
161名刺は切らしておりまして:2010/07/25(日) 02:09:43 ID:8G0OcJPo
恐くて試してないけど、
suckmeはC:\に決め打ちしてるけど
相対パスでもいけちゃうの?
162名刺は切らしておりまして:2010/07/25(日) 02:32:44 ID:VjU+YF0Z
>>161
分かんないけどいけるんじゃないかな。

一番怖くて、一番流行するだろうパターンは、
IEで「http://example.com/abc/」という不正なサイトにアクセスすると、
勝手に「\\example.com\xyz\」という共有フォルダ名にリダイレクトされるようになっており(WebDAVでもアクセスできてしまう)、
そこには「不正なショートカット.lnk」と「マルウェア.dll」があり、
lnkの指す先は「\\example.com\xyz\マルウェア.dll」になっている、というパターンと思う。

つまり、怪しいURL踏むと攻撃発動。
163名刺は切らしておりまして:2010/07/25(日) 03:19:01 ID:cC0TLShS
>>160
> このスレに今回の脆弱性を分析してる人がたくさんいるけど、
> 正確な情報は一つもないので、信用しない方がいいよ。

↑のフリして


> 今回の問題は、(長文につき略)

↑この流れは正直ないわー
信用していいのか信用しちゃダメなのか
164名刺は切らしておりまして:2010/07/25(日) 03:55:20 ID:VjU+YF0Z
>>163
何がなくて困っているのか分からんが、
俺のレスもそれ以外も信用しなければ解決するんじゃね?
165名刺は切らしておりまして:2010/07/25(日) 11:20:26 ID:GoCvnN5D
Windows使わなければ全て解決

UbuntuかMacに移行しましょう
166名刺は切らしておりまして:2010/07/28(水) 09:39:25 ID:UUDLQg5a
この件でSophosから無償の保護ツールが出た
http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html
既存のアンチウィルスソフトとは干渉せず、Windowsが.LNKファイルをアクセスする際の妥当性を
実行前にチェックするそうだ
Fix Itを適用したくない人は検討してもいいかも
ただしPIFファイル経由の攻撃には未対応
167名刺は切らしておりまして:2010/07/28(水) 09:57:27 ID:8dmNEvhV
bat ファイルで揃えてみる
168名刺は切らしておりまして:2010/07/28(水) 11:25:18 ID:FirQPWKZ
これってかなりやばいんじゃないですか
あんまり周知されてはないみたいですけど
169名刺は切らしておりまして:2010/07/28(水) 22:50:54 ID:gCPPo+Xo
エクスプローラ上でzip解凍したら即感染!
なんてこともあるわけか…
170名刺は切らしておりまして:2010/07/30(金) 09:02:03 ID:/8YEdoak
windows2000を使い続けるなんて人は、アイコン非表示にしたら良いだけ
171名刺は切らしておりまして:2010/07/30(金) 09:03:06 ID:Qlkz+iOi
これは嘘で、対策をしたのでもう関係ありません
172名刺は切らしておりまして:2010/07/30(金) 09:04:56 ID:WgGsNkNp
ついでにエクスプローラはzipに触れるだけで開こうとするのやめろ。
173名刺は切らしておりまして:2010/07/30(金) 09:20:54 ID:c8iZnCco
MSは「OS」とか無関係の
さまざまなゴミをWindowsに組み込んだり
IE6をOSと一体化させたり
という「大きな間違い」を
たくさん犯してきたことを反省せよ。
 
たとえば「ファイル名の後ろ3文字を変更するだけで
誰でもいつでも何でも実行可能になる」という仕組みは
MS-DOSからの悪い伝統で
現在では危険きわまりない。
 
Windowsは「堅牢なOS」を目指すべきで
(DQN向けの)利便性やデザイン追求は
終わりにしてくり
174刺身は切らしておりまして:2010/07/30(金) 09:48:43 ID:H5ntJrSR
>>172
2000はzipを開くアプリケーションを持っていません。
XPで困っているなら、別の圧縮解凍ソフトを入れて関連付けを変更するか、または

WindowsXPでCabやZipなどの圧縮ファイルの展開を無効にする
http://homepage2.nifty.com/winfaq/c/ntperf.html#1354
175名刺は切らしておりまして:2010/07/30(金) 11:23:34 ID:WgGsNkNp
>>174
回避方法あったのね
どうもありがとう!
176名刺は切らしておりまして:2010/07/31(土) 11:03:07 ID:BzF6irc6
8/3に定例外で緊急パッチ公開か
177名刺は切らしておりまして:2010/08/01(日) 08:14:49 ID:DH32AmiP
そうせWindows2000はスルーなんでしょ。
サポート打ち切りを理由に
178名刺は切らしておりまして:2010/08/01(日) 12:48:52 ID:VDd6YI8s
>>177
当然だろ。わざわざいうべきことでもない
179名刺は切らしておりまして:2010/08/01(日) 14:27:09 ID:LOWwwnpY
うちは前もって買っておいたからいけるんだけど、
実際問題として、2000がこれでダメだから・・・って
PenM辺りのノートパソコン用とかで店頭にXP買いに
出向いて買えるもんなのかね?

PenMに7じゃ、いくらなんでもメモリ1G切ってたら
実用には厳しいと思うんだけど。
180名刺は切らしておりまして:2010/08/03(火) 11:06:40 ID:NcFHDacL
はいパッチ来ました

マイクロソフト セキュリティ情報 MS10-046 - 緊急
Windows シェルの脆弱性により、リモートでコードが実行される (2286198)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-046.mspx

Windows 2000, XP無印, SP1, 2には
 ・今後パッチは出ません
 ・今から騒いでも変わりません
ので、毎月公開されるセキュリティホールは開きっぱなしです
時間経過とともに脆弱性が増しますので、いい加減に乗り換えるか、
強力なファイアウォールやウィルス対策アプライアンスを設置して
最低限他人に迷惑をかけないようにしましょう
181名刺は切らしておりまして:2010/08/03(火) 21:04:54 ID:zXg0Da+S
マイクロソフトが馬鹿やるからアンチウイルスの会社が儲かるんですね
OS=2万5千円(5年使用) としても アンチウイルスソフト 1年5000円x5年
で2万5千円。OSと同じかそれ以上にMSの穴ふさぐソフト代金かかるのですか。
182名刺は切らしておりまして:2010/08/03(火) 23:01:47 ID:y53o/b1T
アニメーションカーソルの脆弱性(2007年4月)以来の数年に1回の頻度のやばい脆弱性が、
Windows 2000のサポート完全終了後すぐに出てくると、さすがに意図的なものを感じざるを得ない

見ただけで発動タイプって、滅多に無いかなりやばい脆弱性だぞw
183名刺は切らしておりまして:2010/08/03(火) 23:42:30 ID:KSjqnB2z
>>179
DSP版なら購入できるよ
PCパーツと同時購入ね
184名刺は切らしておりまして:2010/08/04(水) 08:06:00 ID:RrdBo4Yh
>>183
ありがとう。
結構2000の知り合いがいるから教えてあげるよ。
 「メモリ512MB無いならさすがに諦めて」
とは既に言ってあるんで。
185名刺は切らしておりまして:2010/08/04(水) 10:31:00 ID:kBMwiZXE
>>184
価格コムでみると、まだXPの在庫を持ってるお店もあるね
でもOS単体だと結構値が張る気がするので
新しいPC購入した方が幸せになれるかも

DELLとかならXPダウングレード権を付けられるし

あと、黒翼猫さんのサイトで今回の対策ツールが紹介されてるよ
186名刺は切らしておりまして:2010/08/04(水) 20:03:08 ID:VlBPBLZ+
実は2kサポート終了前から見つかってたんだろ?この脆弱性
MSは本当にやることが汚いなあ

2k並にシンプルで使いやすいOS出したら許してやる
187名刺は切らしておりまして:2010/08/04(水) 20:30:55 ID:0PFkAj5l
MSの脆弱性は五万とあるが対策はしていない
対策できたら今回のように発表していかにもやってるっていうポーズ
188名刺は切らしておりまして:2010/08/04(水) 20:38:46 ID:JElpc/9R
脆弱というか弱すぎ
189名刺は切らしておりまして:2010/08/04(水) 22:03:22 ID:RrdBo4Yh
OS自体、拾い食いがデフォなんだ。
察してやれ。
190名刺は切らしておりまして:2010/08/04(水) 23:05:38 ID:sveETBui
実は大穴開いてました、というレベルだからなぁ
191名刺は切らしておりまして:2010/08/05(木) 09:47:39 ID:Mh28gNAs
>>187
へー、いま発表されてない脆弱性はいくつぐらいあるの?
192名刺は切らしておりまして:2010/08/05(木) 09:52:24 ID:dXSGFS7Q
五万ぐらいじゃね?w
193名刺は切らしておりまして:2010/08/05(木) 21:46:54 ID:TDQuFHif
Linux → ピラミッド
Mac → 姫路城
Windows → 三豊百貨店
194名刺は切らしておりまして:2010/08/06(金) 19:31:00 ID:G9TnbGRD
windows捨ててlinuxにしてよかった。
再インスコ時にライセンスで蹴られて電話したら割れ物扱いされた恨みは忘れない。
195名刺は切らしておりまして:2010/08/06(金) 20:16:23 ID:s+aAl7Yy
MSが渡してるマニュアルに、電話してきた奴は犯罪者だと思えと書いてるからね。
196名刺は切らしておりまして:2010/08/07(土) 03:07:46 ID:TSLEkBVp
>>194
> 再インスコ時にライセンスで蹴られて電話したら割れ物扱いされた恨みは忘れない。
俺も同じく、そういうことをされたんで、7を買うかとうか迷ってる
197名刺は切らしておりまして:2010/08/07(土) 07:39:12 ID:rf7kJsFS
パッチでたけどもう安全と思って良いの?
198名刺は切らしておりまして:2010/08/08(日) 00:43:50 ID:4pv7/p61
LNK脆弱性悪用のStuxnetワームとイランでの高い感染率
ttps://www.netsecurity.ne.jp/3_15773.html
199名刺は切らしておりまして:2010/08/08(日) 00:59:12 ID:ag81nwPf
やれやれ面倒臭いな
また仮想環境でwindwos使うか。
200名刺は切らしておりまして
>>181
MSE使えばいいじゃないw