Microsoft Windows のショートカットファイル処理に起因する任意コード実行の脆弱性(Scan Tech Report)
Microsoft Windows には、ショットカットファイルの取り扱いに起因して、意図せず不正な DLL ファイルを読み込んでしまう脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
Microsoft Windows には、ショットカットファイルの取り扱いに起因して、意図せず不正な DLL ファイルを読み込んでしまう脆弱性が報告されています。
ユーザが悪質な Web サイトやリモート共有フォルダなどを閲覧した場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
この脆弱性を悪用するエクスプロイトコードが既に Metasploit にモジュールとして追加されており、攻撃に利用される可能性が高くなっています。また、攻撃を受けた場合のシステムへの影響は大きいため、パッチ未適用の WindwosOS を利用するユーザは可能な限り以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
9.3
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-0096&vector=%28AV:N/AC:M/Au:N/C:C/I:C/A:C%29
3.影響を受けるソフトウェア※1
サポートされる全ての Microsoft Windows OS
4.解説
ショートカット※1 は、ファイルまたはプログラムなどへのリンクであり、LNK 拡張子 (.lnk) を持つアイコンファイルです。
Microsoft Windows のコンポーネントの 1 つである Windows Shell には、ショットカットファイルを読み込む際に、当該ファイル内のリンク先(Target)に指定されるデータを適切に処理しない不備があります。
このため、ユーザが Windows Explorer を利用してリモート共有フォルダやリムーバブルメディアなどを開き、ファイルの一覧画面を表示した場合、フォルダに含まれる不正なショットカットファイルを介して、同じフォルダ内の DLLファイルを読み込んでしまう脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、ログインユーザの権限で任意のコード実行が可能となります。
なお、Windows Explorer を使用してショートカットファイルを表示する場合に影響を受け、異なる方法 (cmd.exe や powershell.exe など) で表示する場合には影響を受けません。
また、Windows の自動再生機能 (AutoPlay 機能) を有効にしている環境では、リムーバブルメディアなどを介して自動的にこの脆弱性が悪用されてしまう危険性があります。
※1 https://msdn.microsoft.com/en-us/library/dd871305.aspx
5.対策
以下の Web サイトを参考に、それぞれの Windows OS バージョンに対応するパッチ (MS15-020) を入手し適用することで、この脆弱性を解消することが可能です。
※Windows Update/Microsoft Update を行うことでも同様に脆弱性を解消することが可能です。
MS15-020:
http://technet.microsoft.com/security/bulletin/MS15-020
あるいは、以下のいずれかの緩和策を利用することで、この脆弱性による影響を緩和または回避することが可能です。
・ショートカット用アイコンの表示を無効にする
・Microsoft Fix it (Fix it 50486) を適用する※1
・WebClient サービスを無効にする
※1 http://support.microsoft.com/ja-jp/kb/2286198/ja
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック デジタルペンテスト部》