2月 27

Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-3881)に関する検証レポート

【概要】
Microsoft Windows7または2008R2のカーネルモードドライバ(win32k.sys)に、ローカルより権限昇格を行える脆弱性(CVE-2013-3881)を利用する攻撃コードが発見されました。
この脆弱性は、win32k.sysへの入力値に対する検証において、エラーが存在することより発生します。これにより、システム上で権限昇格を行うことができ、さらにカーネルモードで任意のコードの実行が可能となります。

攻撃者がこの脆弱性を利用するためには、システムへの有効なログオン情報が必要になります。
攻撃者が何らかの方法でシステムの一般ユーザでのアクセス権を獲得した場合、この脆弱性を利用することで管理者権限も同時に掌握されます。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります

本レポート作成(2014年2月19日)時点において、Microsoft社より2013年10月9日に脆弱性の修正プログラムがリリースされております。しかしながら、攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、このカーネルモードドライバの脆弱性(CVE-2013-3881)の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
– Windows XP Service Pack 3
– Windows XP Professional x64 Edition Service Pack 2
– Windows Server 2003 Service Pack 2
– Windows Server 2003 x64 Edition Service Pack 2
– Windows Server 2003 with SP2 for Itanium-based Systems
– Windows Vista Service Pack 2
– Windows Vista x64 Edition Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for x64-based Systems Service Pack 2(Server Coreインストールを含む)
– Windows Server 2008 for Itanium-based Systems Service Pack 2
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Coreインストールを含む)
– Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
– Windows 8 for 32-bit Systems
– Windows 8 for x64-based Systems
– Windows Server 2012(Server Coreインストールを含む)
– Windows RT

【対策案】
Microsoft社より、この脆弱性を修正するプログラム(MS13-081)がリリースされています。
当該脆弱性が修正された修正プログラムを適用していただくことを推奨いたします。

【参考サイト】
CVE-2013-3881

マイクロソフト セキュリティ情報 MS13-081 – 緊急
Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (2870008)

【検証イメージ】
P05_post 

【検証ターゲットシステム】
Windows 7

【検証概要】
攻撃者は、自らが作成したファイルを利用者に実行させます。これにより、利用者は意図せず攻撃者が用意したサーバに対して接続が行われます。その後、ターゲットPCに対して脆弱性を利用した攻撃を行うことにより、利用者の権限よりも上位の権限に昇格するというものです。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Linux)のターミナルの画面です。赤線で囲まれている部分は、ターゲットPC(Windows 7)から誘導先のコンピュータに対して接続が行われた際の画面です。ここでは、Domain Users権限で接続が行われています。一方、黄線で囲まれている部分は、脆弱性を利用した際の画面です。ここでは、system権限で接続が行われています。
これにより、権限昇格を行うことに成功しました。

P05_cve-2013-3881_cut

reported by y.izumita, ntsuji

Category: exploit | Windowsのカーネルモードドライバの脆弱性により、権限昇格が行える脆弱性(CVE-2013-3881)に関する検証レポート はコメントを受け付けていません。
2月 13

Active Directoryを利用したEMETの制御

Active Directoryの機能である「グループポリシー管理」を用いて、Active Directory配下のクライアントに対するEMETの自動インストールと、ポリシーを用いた制御を目的とします。本文書では、「グループポリシー管理」を利用してEMETを自動配信する方法と、「グループポリシー管理」へEMETのテンプレートを追加する方法を記載します。

■EMETとは
Enhanced Mitigation Experience Toolkitの略称で、Windows上で動作する様々なアプリケーションに対し、脆弱性を利用した攻撃の発生を防ぐツールです。以下にEMETの動作イメージを挙げます。

01_EMETの動作イメージ3

EMETの役割は、ユーザが細工されたアプリケーションを操作した際に、クライアント上で細工されたアプリケーションが実行されるのを防止する、というものです。

 

■EMETの導入方法
最新版のEMET(バージョン4.1)は以下のサイトからダウンロードが可能です。

Enhanced Mitigation Experience Toolkit

クライアントに対して個別にEMETのインストールを行う場合は、ダウンロードしたファイルをそれぞれのクライアント上で実行しインストールを行います。
一方で、Active Directoryのグループポリシー機能を利用し、配下のクライアントに対してEMETの配信を行うことが可能です。Active Directory内の共有ファイルサーバを利用して、EMETをクライアントに自動的にインストールさせます。

【配信の準備】
バージョン4以降のEMETのインストールには、.NET Framework4.0の導入が必要です。予めEMETを配信したいクライアントに、.NET Frameworkをインストールしておきます。また、配信用のEMETインストーラを、UNC表記で接続可能なネットワーク上の共有ファイルサーバへ配置します。

【クライアントへの配信】
①「グループポリシーの管理」より、EMETを配信するためのポリシーオブジェクトを作成します
(例:下図では、[EMET Test]という名前のポリシーオブジェクトを作成)

02_オブジェクトの作成

②配信用のポリシーオブジェクトにEMETを追加します
[コンピューターの構成]→[ポリシー]→[ソフトウェアの設定]→[ソフトウェアインストール]を右クリックし、「新規作成」を選択

03_EMETの追加

③UNCパス表記でEMETを登録します
ネットワークサーバ上のEMETを、UNCパス(\\サーバ名\ファイルパス)で登録

04_UNC表記

④EMETがポリシーオブジェクトに追加されていることを確認します

05_オブジェクトの確認

⑤「グループポリシーの管理」から、先ほど作成したポリシーオブジェクトをコンテナへリンクさせます

06_オブジェクトの設置

⑥クライアント上でインストールされたことを確認します
クライアントの通知領域にEMETが存在していれば完了

07_EMETインストールの確認

 

■グループポリシー管理を用いた制御
Active Directoryのポリシーを管理しているサーバの、ポリシーを格納しているフォルダに、EMETを制御するためのポリシーテンプレートをコピーします。

①EMETのインストールフォルダ内にadmlファイルとadmxファイルが存在するので、この二つのファイルをコピーします

08_EMETテンプレートの場所

②ポリシーを格納しているフォルダにペーストします
ポリシーの格納フォルダは、デフォルトでは%SystemRoot%\PolicyDefinitions

09_ポリシーを格納する場所

③「グループポリシー管理」のポリシーオブジェクトからEMETのテンプレートが追加されていることを確認します
[コンピューターの構成]→[ポリシー]→[管理用テンプレート]配下に[EMET]が追加されていれば完了

10_EMETテンプレートの確認

Category: memo | Active Directoryを利用したEMETの制御 はコメントを受け付けていません。
2月 4

JALマイレージバンクについて個人的まとめと雑感

oriduru1r

このようなニュースがありました。
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
以下は記事の引用です。

同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」(同社広報部)としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。

割と衝撃的な回答ですね。

ちなみに各社のポリシーは以下の通りでした。

・JAL
半角数字6桁

・ANA
半角数字4桁

・ソラシドエアー
6文字以上12文字以内で、半角英数のみ

・スターフライヤー
半角数字4〜8桁
*全て同じ数字は利用できない。

・AIR DO
数字のみの場合8文字以上20文字以下、英数字の場合6文字以上20文字以下

・スカイマーク
サービスなし?

Splash Dataというところが発表した2013年のよく使われる脆弱なパスワードランキングによると「123456」が1位のようですのでこれでリバース攻撃を行なわれたらJALは6桁数字パスワードだし… と思っていたのですが実際にパスワード変更にて確認してみたところ「123456」は設定できませんでした。改めて別ページにあった「パスワードに使用できない組み合わせ」を確認したら以下のような制限があるようです。

(1) 生年月日(西暦・元号とも)
(2) 電話番号
(3) 住所の数字部分
(4) 111111などの連続する同じ数字
(5) 123456などの連続する数字
(注)(4)以外は、順序を逆にしたパターンも使用できません。

しかし、よく使われる脆弱なパスワード11位の「123123」は設定可能でした。
連続する数字に関しても確認してみたところ「111112」というものは設定可能であったため連続する数字というのは6桁すべてが同じものという意味のようです。ちなみに「123451」も可能でした。
このルールを事前に調べておけばそもそも使えないパスワードが分かりますので、攻撃者はその他の弱そうなパスワードを試そうという思考になり実際に試す候補が絞り込めとも考えられなくもないですね。

また、JALはパスワードについてこのようなページも用意しています。
以下は引用です。

パスワードは、個人情報および積算マイルの保護のため、定期的に変更することをお勧めいたします。またパスワード変更時には、生年月日、電話番号、連続する同じ番号等、推測されやすい番号はご使用にならないようご注意ください。

少し拡大解釈しすぎかもしれませんが、今回のパスワードの強化策を講じないということ、数字のパスワードは脆弱という認識は無いということから考えると、あくまで責任はユーザにあると言っているようにも取れます。
もちろん、弱いパスワードを設定しまうことに関しては一部ユーザの責任であると考えることもできますが、その前に設定できるパスワードの自由度を上げることがサービス提供側の責任でもあるのではないでしょうか。数字6桁のみとなると脆弱なパスワードを設定することを誘発していると考えることもできます。

ただ、数字のみのパスワードというのには理由があるだと思います。
例えば電話での予約や確認サービスの利用などでしょうか。
ただ、電話予約やその確認のためなどに数字6桁のみのパスワードというものを残さないといけないというのであれば、Webログインやその先にできるものは別のものにするか、二要素(段階)を導入して欲しいと思います、

とはいえ、今すぐシステムをどうにかということは現実的に無理だとは思います。
だから、「数字だけのパスワードが脆弱という認識は「ない」」などと言わず、10年以上前から多くの方が指摘されてきたことであるということを受け止めて、これをよい機会とし、今後のセキュリティ強化に努めていく一歩を踏出していただきたいと強く思います。もちろん、JALだけではなくです。

【おまけ】
Wikipedia – JALマイレージバンク の 概要の項目を見るとお得意様番号にはある程度の規則性のようなものがあるようですね。

【2014/02/05追記】
紹介したITmediaの記事に追記がありました。

2月4日午後8時50分追記

 その後の取材に対してJAL広報部は、「パスワードの方法を含めて今後の対応を検討していきたい」と話した。

とのことで新たに記事も追加されていますね。
JALマイレージバンクの不正ログイン、セキュリティと利便性のバランスが問題に?

今後、各社安心、安全に繋がる対応に期待です。

Category: memo | JALマイレージバンクについて個人的まとめと雑感 はコメントを受け付けていません。