AppleやSymantecのアップデートにも影響、Windowsに脆弱性
ソフトウェアの多くは、HTTPリクエストをアップデート確認などに利用しているが、攻撃者は中間者攻撃(Man in the Browser)によりHTTPリクエストを傍受して、HTTPリダイレクトを活用して攻撃者が用意したSMBサーバーへリダイレクトする。リダイレクト先がfile:// ではじまるURL、かつ被害者のPCがWindowsである場合には、自動的に攻撃者のSMBサーバーに接続して認証情報を送信する。
攻撃者のSMBサーバーにはユーザーの認証情報が暗号化された形で記録される。暗号化された状態ではあるものの、ブルートフォース攻撃によって解読される可能性があるため注意が必要だ。
現時点で脆弱性がどこに存在するのか判明していない。影響を受けるシステムは、urlmon.dllのWindows API関数。
URLDownloadA
URLDownloadW
URLDownloadToCacheFileA
URLDownloadToCacheFileW
URLDownloadToFileA
URLDownloadToFileW
URLOpenStream
URLOpenBlockingStream
urlmonはwininetライブラリを利用して処理を行うため、脆弱性の原因となる機能はwininetに含まれる可能性も否定できないという。
また、今回の情報元となったセキュリティベンダー「Cylance」によると、InternetExplorerや.NET FrameworkのWebBrowserコンポーネントも脆弱性の影響を受けるとしている。
HTTPリダイレクトによる攻撃手法は今回発見されたものだが、SMBを利用した問題は1997年から存在する。2009年にもマイクロソフトがセキュリティアドバイザリを公開するなど、長年の問題となっているようだ。
影響を受けるOSは、今夏にリリース予定のWindows 10やServerを含む全てのWindows OS。また、この脆弱性を悪用して情報を取得できるソフトウェアベンダーは、最低でも31社にのぼるという。
ベンダーはAdobeやApple、Box、Microsoft、Oracle、Symantecなど、多岐にわたる。AppleはiTunesの更新確認、AdobeはPDFのAdobe Reader、MicrosoftはInternet ExplorerやWindows Media Player、SymantecはNorton Securityなど、主だったソフトウェアのアップデートはすべて影響を受けてしまう。
提供元の記事
提供:
関連リンク
-
new
【焼き立てミニひよ子の実演も!】5/16-5/31「ひよ子本舗?野堂」博多エキナカマイング POP UP SPACEに登場!
-
new
スザンヌ、息子からの“母の日ギフト”使った私服コーデを披露「ムッチャ似合ってて可愛いぃ~」「宝物すぎますね」
-
new
かとうかず子、初孫を抱いたお宮参りショットに反響「いいお顔」「素敵ですね!!」 元夫は東国原英夫
-
new
渡辺満里奈、長男が初バイト→給料で買ってくれたプレゼントを披露「これはうれしい!!」「優しい息子さんですね」
-
SixTONES京本大我、『CanCam』連載で雨の浅草を散歩 Xで大バズリによる変化も明かす「印象が変わったと言われることが増えた」