Skip to main content
MSRC

2009年1月のセキュリティリリース & Conficker (Downadup)の削除に対応したMSRT

小野寺です

今年最初のセキュリティリリースは、事前通知からの変更はなく、予定通り、計 1 件 (緊急 1 件)となります。

セキュリティ情報 (新規):
概要情報、展開に関する情報、および Exploitability Index は、以下のサイトにまとめています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jan.mspx

毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、1/14 の午後に以下のサイトと、この Blog での公開を予定しています。
http://technet.microsoft.com/ja-jp/dd251169.aspx

MS09-001 (SMB):
特別に細工された SMB パケットを受信する事で、認証を必要とせずに、リモートでコードが実行される可能性があります。
本来であれば、この脆弱性は、非常に危険度の高いもとなり、昨年 10 月に緊急リリースした MS08-067 と比べて危険度がどの程度なのか気になるところだと思います。 現時点で、Microsoft 社内の脆弱性分析を専門に行っている SWI の分析では、脆弱性を悪用した攻撃をおこなっても、「サービス拒否」の状態にしかなず、実際にコードが動作する攻撃コードを作成する事は非常に難しいと考えています。
しかし、脆弱性として理論的にコード実行が可能ですので、緊急と評価しており、実効性のあるコードが発見悪用される前にセキュリティ更新プログラムを適用する事を推奨します。

悪意のあるソフトウェアの削除ツール (MSRT):
今月は、Banload および MS08-067 を悪用する Conficker に対応しています。
すでに、報道にも有る通り、MS08-067 の適用が(たぶん、事情により)行えなかった企業環境で、幾つか感染事例が確認されています。MS08-067 が適用されていない、企業ネットワーク内で感染 PC が一台でもあれば、ネットワークを通じて感染が広がりやすいネットワーク感染型のワームということもあり、今回 MSRT でも、Conficker に対応する事としました。

また、この Conficker は、MS08-067 の脆弱性だけだはなく、「脆弱なパスワードが設定された管理者アカウントへのログオン試行」や、「マップされたドライブ(リムーバブルドライブなど)に対する自動再生ファイルの設置」等の感染方法も併用するため、脆弱性とは別に、一般的なウイルス対策にの隙をついても感染を広げます。
技術的な詳細については、このブログの Conficker.Bに記載してあります。

さて、MSRT を企業内で活用する場合、WSUS 等が導入されている場合は、自動更新で配信されるため非常に容易に利用可能です。 しかし、そのような環境ではない場合は、以下のサポート技術情報を参考に、使用する事が可能です。

企業環境での Microsoft Windows 悪意のあるソフトウェアの削除ツールの展開
http://support.microsoft.com/kb/891716/

悪意のあるソフトウェアの削除ツールの入手方法自体は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/security/malwareremove/default.mspx


Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.