マイクロソフトは、アプリケーションが外部ライブラリをロードする際の脆弱性に対する、新たなリモートの攻撃方法が確認されたとの調査結果を受け、2010/08/24 に セキュリティ アドバイザリ 2269637を公開しました。これは、他のマイクロソフト セキュリティ アドバイザリとは性質が異なり、マイクロソフト製品の特定の脆弱性について説明するものではありません。「DLL のプリロード」または「バイナリの植え付け (binary planting)」攻撃 として知られる、既知の脆弱性に対する新たなリモートの攻撃方法の概要とその予防策をお伝えしています。
この攻撃は、パス攻撃に類似しており、アプリケーションが、信頼されるライブラリをロードしていると想定している間に、悪質なライブラリがロードされるように操作するというものです。これまでは、攻撃者は悪質なライブラリをローカル クライアント システムに植え付ける必要がありましたが、今回の調査では、ネットワーク共有に悪質なライブラリを植え付けて、これらの攻撃を行う方法が確認されました。
これは新たな脆弱性というよりは新しい攻撃方法となるため、予防策としては、この手の脆弱性を防ぐ既存の最善策が、この新しい攻撃方法も防ぎます。よって、アプリケーションが完全なパス名を使用して、確実に信頼されるライブラリを呼び出すように対応することを推奨します。
マイクロソフトは開発者向けにガイダンス「MSDN の記事 Dynamic-Link Library Security (英語情報)」を公開し、この種の脆弱性を回避するために利用可能なアプリケーション プログラミングインターフェイスの正しい使用方法についてお知らせしています。また、マイクロソフトはサポート技術情報 KB2264107 (現時点で英語版のみ最新) でツールを公開しました。このツールは、システム全体または特定のアプリケーション向けのライブラリのロード方法を変更することで、システム管理者がこの新たな攻撃方法のリスクを緩和できます。
現在、マイクロソフトはこの新たな攻撃方法がどのようにマイクロソフト製品に影響を及ぼすかについて調査中です。通常通り、この問題がマイクロソフト製品に影響することを確認した場合、お客様保護のための適切な対応を行います。この件についてのアップデートは追ってこのブログでもお知らせしたいと思います。
[続報 1] この脆弱性に関するより詳しい内容や開発者向けのガイダンスは SRD ブログ「More information about the DLL Preloading remote attack vector」に記載されています。この記事の抄訳は後日こちらのブログで投稿する予定です。
[続報 2] SRD ブログ「More information about the DLL Preloading remote attack vector」に添付してあるガイダンス「ライブラリを安全にロードして DLL のプリロード攻撃を防ぐ」の抄訳を公開しました。
Secure loading of libraries to prevent DLL Preloading_J.docx