インフラセキュリティの処方箋
第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
2月は,
今月はその中から,
2月に公開された 「DLL読み込みに関する脆弱性」 の例
2018年2月は,
以下は,
- JVN#70615027:安心ネットセキュリティ (Windows版) のインストーラにおける DLL 読み込みに関する脆弱性
- JVN#04564808:
「フレッツ・ あずけ~る バックアップツール」 のインストーラにおける DLL 読み込みに関する脆弱性 - JVN#87403477:
「フレッツ v4/ v6アドレス選択ツール」 のアプリケーションおよびアプリケーションを含む自己解凍書庫における DLL 読み込みに関する脆弱性 - JVN#28865183:トレンドマイクロ株式会社製の複数の製品における DLL 読み込みに関する脆弱性
「DLL読み込みに関する脆弱性」 のCVSS評価
CVSSによる本件脆弱性の評価は,
- CVSS v3:基本値: 7.
8 - AV:L/
AC:L/ PR:N/ UI:R/ S:U/ C:H/ I:H/ A:H - ローカル脆弱性
(AC:L), 難度は低い (AC:L), ユーザによる操作は必要 (UI:R) - 影響は,
操作ユーザの権限で及ぼす範囲に閉じる (S:U) - 機密性
(C), 完全性 (I), 可用性 (A)に対する影響は高 (C:H/ I:H/ A:H)
- AV:L/
- CVSS v2:基本値: 6.
8 - AV:N/
AC:M/ Au:N/ C:P/ I:P/ A:P - ネットワーク脆弱性
(AC:N), 難度は中 (AC:M), 認証は不要 (Au:N) - 機密性
(C), 完全性 (I), 可用性 (A)に対する影響は部分的 (C:P/ I:P/ A:P)
- AV:N/
「DLL読み込みに関する脆弱性」 がトリガする前提としくみ
本件脆弱性は,
図中①~②は本件脆弱性がトリガされる前提,
「DLL読み込みに関する脆弱性」 の原因
最近発見される本件脆弱性は,
以下の資料に,
本記事の図では
「DLL読み込みに関する脆弱性」 の対策
本件脆弱性は,
ユーザ側で取れる自衛策
ユーザ側は,
- 新しくディレクトリ/
フォルダを作成する - 新しく作成したディレクトリ/
フォルダに, ダウンロードした実行ファイル類をコピー/ 移動する - 新しく作成したディレクトリ配下の実行ファイルを実行する
すでに別のマルウェアなどにより,
開発側で取るべき対策
開発側が取るべき対策は,
- 自己解凍ファイルなど,
ダウンロードした実行ファイルをそのまま実行することを想定できる場合 自己解凍ファイルが利用する実行ファイルについて,
あらかじめ読み込まれるDLLを最小限にします。 - 開発側がプログラム実行のための環境を設定可能な場合
ダウンロードしたプログラムをそのまま実行するのではなく,
インストールを経て実行できるようにします。 - 配布するインストーラが実行ファイルになる場合
インストーラ作成プログラムを,
本件脆弱性について対処したものに変更し, インストーラを実行ファイルではなく, マイクロソフトインストーラ (MSI) 形式のものにします。
参考資料
筆者が見る限り,
対策を検討される際には,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題