小島さんの所。以下自分なりに記事を引用しつつメモを書いておく。
7/28、読みやすいようにマイナーチェンジした。
■本件の原因、現状_________________
マイクロソフト セキュリティ アドバイザリ (2286198)
Windows がショートカットを正確に解析しないため、特別に細工されたショートカットアイコンを表示すると、悪意のあるコードが実行されうる。
この脆弱性は悪質な USB を介してローカルで悪用されるか、またはネットワーク共有および WebDAV を介してリモートで悪用されうる。
埋め込みショートカットをサポートする特定のドキュメントの種類に、エクスプロイトが含まれている可能性もある。
MSパッチは 未発表(2010.07.28現在)
すでに現実に悪用されていて ここ によると
malware that leverages CVE-2010-2772 in Siemens WinCC SCADA systems
とのこと。
■解決方向性________________
マイクロソフト セキュリティ アドバイザリ (2286198)
いわく
1. ショートカット用アイコンの表示を無効にする
2. WebClient サービスを無効にする
3. インターネットの LNK および PIF ファイルのダウンロードをブロックする
ここで、お役立ちリンク...
ショートカットアイコンの一発無効化
■課題_____________________
ただ、ショートカットアイコン無効化は副作用も大きいだろう。
ソフォスのブログ
では
their temporary mitigation advice has some usability issues that may actually cause more serious problems inside your organisation than the real malwareだと。そりゃそうだ。
さらに、エフセキュアブログによると
単にリムーバブルドライブを閲覧するだけで悪意のコードが実行されうる。
AutoPlayを無効にしておいても、この脆弱性を大して緩和することにはならない。それは単に:スタートをクリック、コンピュータをクリック、リムーバブルディスクをクリック。3回のクリックで危険にさらされるのだ。しかしそれでも、Windows 7のソーシャルエンジニアリングトリックを制限するためには、組織はAutoPlay機能を無効にした方が良い。
■対策案__________________________
(1)AutoPlay無効化は(他のUSB経由感染対策として)やっておいた方が良い
(本件に関しては、それ単独では無力だが)
(2)USB 記憶装置を使用できないようにするは実施できるなら実施する。現実解にはならないだろうから、さらに、、、
(3)ローカルドライブのみでの実行に制御したり、
(参考 Win7でUSBからの実行アクセス権の拒否設定 )、
(4)外部からのメールのlnk/pifファイルをメールゲートウェイで削除したり
(5).lnk無効化は、既存ファイルサーバの膨大な資料への到達手段が奪われ、業務効率化の阻害につながりうる。lnk先が実行可能形式の場合のみ、.lnk無効化するとか(そのような走査が出来るならの話)
など合わせ技が必要か。
--- 以下、7/25追記 ---
(6)先のショートカットアイコンの一発無効化
やってみたところ、ショートカット機能は維持されている。アイコンが白い箱状態になり、見た目の変化に戸惑う人も出るだろうが、背に腹は代えられない、といったところか。
(7)アンチウイルスUSB製品の購入、利用 例.Trend Micro Portable Security を利用する。スタンドアローンの実験・計測機器に内ぞうされたPCは、機器メーカが「常駐型アンチウイルスの導入をサポートしない」と言う事がある。データ交換を安全に行うためには、このように特別なUSBが必要か。
(8)対応済みのアンチウイルスソフト導入
(9)前述(7),(8)が出来ない場合 (例.スタンドアローンの実験・計測機器に内ぞうされたPC)で、非常駐ウイルスチェック。例. Trend Micro SysClean Package ←トレンドマイクロの人は口頭で「無料」と言っていました。Webに分かりやすくFreeと書いておいて欲しい今日この頃。
(10)MSパッチ適用(今は発表を待つのみ)
No comments:
Post a Comment