MikkoのTwitterフィードをフォローしていないなら、exploit-db.comで、Windowsショートカット(.lnk)脆弱性のパブリックPoCエクスプロイト・コードがリリースされたという、昨日のニュースをご存じないかもしれない。

  これはさらに、ショートカット脆弱性の危険を拡大する。これまでStuxnetルートキットの作者だけがこの欠陥を利用してきたが、現在は他の悪者たちが、すぐ後に続くであろうことに疑う余地はない。

  幸いにも、一部の人々はこのPoCを良い目的にも使用している。

  Didier Stevens(Adobe Readerの/launch機能に関するリサーチでよく知られている)は、彼のAriadツールで同エクスプロイトをテストし、これは上手くブロックされた。StevensはWindows 2000 SP4までさかのぼってテストしている。もしMicrosoft Securityアップデートの予定が無いレガシーシステム(Windows XP SP2など)を保持する必要があるなら、Ariadは一つの選択肢と言えるかもしれない。

  しかしStevensはAriadをベータソフトウェアとしているため、選択肢とならない人もいるだろう。それでは他にどんな方法があるだろうか?

  SophosのChet Wisniewskiは、実行ファイルのローンチをローカルハードドライブに制限するため、Group Policiesを使用する事を提案している。

  そしてもちろん、Microsoftのセキュリティ アドバイザリによる回避方法もある。

  •  ショートカット用アイコンの表示を無効にする
  •  WebClient サービスを無効にする

  「セキュリティ アドバイザリ(2286198)」に関してだが、いくつか我々には不明瞭に思われる部分がある。

  たとえば、同アドバイザリによれば:

  「同脆弱性は、ユーザが特別に作成されたショートカットのアイコンをクリックすると、悪意あるコードが実行されるかもしれない方法で、Windowsがショートカットをパースすることが原因だ。」

  しかし、我々の分析によれば、クリックは必要ではないのだ。

  Microsoft自身のMalware Protection Centerは、同エクスプロイトについて以下のように述べている:

  「これは、USBドライブに置かれた、特別に作成されたショートカットファイル(別名.lnkファイル)を活用するもので、.lnkファイルがオペレーティングシステムによって読まれるとすぐに、自動的にマルウェアを実行する。言い換えると、単にショートカットアイコン(Windows Explorerのような)を表示するアプリケーションを使用しているリムーバブルメディアドライブを閲覧することで、その他のユーザインタラクション無しでマルウェアが動作する。」

  単にリムーバブルドライブを閲覧するだけ。クリックは必要無い。

  そして、AutoPlay機能に関する疑問がある。アドバイザリによれば:

  「AutoPlayを無効にしたシステムについては、同脆弱性を悪用するには、ユーザがリムーバブルディスクのルートフォルダを、手動で閲覧する必要がある。Windows 7システムについては、リムーバブルディスクのオートプレイ機能は、自動的に無効となる。」

  しかしデフォルトでは、我々のWindows 7テストシステムにUSBドライブを接続すると、以下のような状態になる:

Windows 7 AutoPlay

  このダイアログはAutoPlayとなっているのでは? Windows 7システムでは、AutoPlayは自動的に無効とはならないようだ。

  デフォルトでAutoRunは無効とならなければならなかったのだろうか?(Windows 7は間違いなく、Windowsの以前のバージョンよりもリムーバブルメディアの取り扱いが優れているが、AutoPlayは現在もデフォルト機能であるようだ。)

  いずれにせよ、AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に:スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。

  通常、我々はMicrosoftに対してこのような小さな点をあげつらったりはしないのだが、組織にリスクのオフィシャルな評価情報を提供するアドバイザリであるため、このことは特に重要であると思う。

追記:Microsoftがアドバイザリをアップデートした。我々の最新の記事に詳細がある