Microsoft からの IEの脆弱性について追加情報

Continuing with Our Community Driven, Customer Focused Approach for EMET - Security Research & Defense - Site Home - TechNet Blogs

Clarifying the VGX.DLL workaround

The exploits we have seen have relied on Vector Markup Language (VML) to trigger the use-after-free vulnerability. As we analyzed different ways to trigger this vulnerability, we concluded that additional attacker research would be required to develop an exploit that did not rely on the presence of VML. Therefore, we recommended in the original security advisory that customers disable VGX.dll, the library that provides VML functionality. Customers can choose to either ACL the file or unregister the DLL. Unregistering the DLL can be accomplished with a single command line, silently, with no user interaction, and may be scripted to run via Microsoft System Center Configuration Manager or other infrastructure management solutions. VML is not natively supported by most web browsers today, so this remediation option may have the least impact on enterprise web app compatibility.

However, we’d like to clarify that VGX.DLL does not contain the vulnerable code leveraged in this exploit. Disabling VGX.DLL is an exploit-specific workaround that provides an immediate, effective workaround to help block known attacks.

VGX.DLL による回避策の詳細

これまで見てきたエクスプロイトは、解放後使用の脆弱性を利用するためにベクターマークアップ言語( VML )に依存してきた。
我々はこの脆弱性を利用するのさまざまな方法を分析したみたが、攻撃者はVMLの存在に依存していない脆弱性を新たに見つけ出す必要があるだろうと結論付けた。
したがって、我々は顧客がのVgx.dll 、 VMLの機能を提供するライブラリを無効にすることをセキュリティ勧告で推奨した。顧客はACL設定するかDLLを登録解除することを選択できる。

しかし、我々はVgx.dllにこのエクスプロイトが活用するための脆弱なコードが含まれていないことを明確にしたいと思います。
Vgx.dllを無効にすると、既知の攻撃を回避するための効果的な回避策として利用できますが、今回の攻撃固有の限定的な回避策です。

要するに、VGX 無効にしても、 VGXに脆弱性があるわけではないので、今発生しているゼロディは防げるが、IE 自体の脆弱性は 残るって事らしいです

でも、なんで、Microsoft はFlash Player 無効にしても防げるって書かないんだろう・・・。
FireEyeはVGXに言及せず、どっちか片方があれば脆弱性利用できるんじゃ?
FlashPlayerも Vector オブジェクトを扱えるので、 Flash Player をトリガに脆弱性を利用することができるんじゃ?
って疑問が残ったままになるんですよね ・ω・ 不親切だなぁ

おすすめ

12件のフィードバック

  1. 名無し より:

    自分(達)は悪くない!
    ってことにしたいんじゃないかと。
    でもなあ、IEの殆どが被害を受けるのなら、きちんとサポートすべきではないのかなあ?
    いいのかな、そんなんで。

  2. 名無し より:

    自分(達)は悪くない!
    ってことにしたいんじゃないかと。
    でもなあ、IEの殆どが被害を受けるのなら、きちんとサポートすべきではないのかなあ?
    いいのかな、そんなんで。

  3. moune より:

    うんτですね,
    FireEyeのブログにも記述があるのですが、
    >However, for many reasons, we will not provide campaign details.
    なわけで、伏せられたのには理由があってのことナンス.
    でも、結構詳しく書いている箇所があって、それはなぜなんだろうと
    お思いかもしれませんが、そいつは多分理由があるのデス.
    詳しく解説している箇所は、古くから使われているフローもしくはアイデア
    の応用だったり改良だよぉというニュアンスが込められているんじゃあ
    ないかナ~.
    Flash exploitation techniqueとか、heap feng shui(風水)tokatoka.
    攻撃者は毎回スクラッチから作ってるわけじゃあなく、アイデアを
    拝借したり処理フローをぱくって、改良を加えたりダメになった部分を
    書き換えたりしてることが多いんdos.
    柔軟性は攻撃パターンを増やすためでもアルヨ.
    脆弱性はそれ単体で任意の攻撃コードを含んでいるわけじゃあなく、
    OSが持っているセキュリティ障壁をバイパスするための素体ないし道具
    として使われたりするわけdos.
    ヨウするに、発見したFireEyeが伏せてたり触れていないところで、
    Microsoftがあっさり名前を出してきた例のあれがその素体なんじゃあ
    ないかなぁと思う次第death.
    例えばの話、古いDLLが故にASLRに対応しない固定アドレスへの読み込み
    なのかなーtokatoka,
    FireEyeでも意味深にアドレスを出して仄めかしている米.
    言い換えると、同じような事が可能な別の素体さえ見つけちゃえば、
    似たような事が出来るのだρ.
    そこが
    >IE 自体の脆弱性は 残る
    に該当するのカナカナ?などと考えたりするのdeath.
    というのが、現時点の一つの不確かな考察デス,
    悪魔で適当な推測なので本当とは岩内.
    信じるか信じないかは貴方私大.

  4. moune より:

    うんτですね,
    FireEyeのブログにも記述があるのですが、
    >However, for many reasons, we will not provide campaign details.
    なわけで、伏せられたのには理由があってのことナンス.
    でも、結構詳しく書いている箇所があって、それはなぜなんだろうと
    お思いかもしれませんが、そいつは多分理由があるのデス.
    詳しく解説している箇所は、古くから使われているフローもしくはアイデア
    の応用だったり改良だよぉというニュアンスが込められているんじゃあ
    ないかナ~.
    Flash exploitation techniqueとか、heap feng shui(風水)tokatoka.
    攻撃者は毎回スクラッチから作ってるわけじゃあなく、アイデアを
    拝借したり処理フローをぱくって、改良を加えたりダメになった部分を
    書き換えたりしてることが多いんdos.
    柔軟性は攻撃パターンを増やすためでもアルヨ.
    脆弱性はそれ単体で任意の攻撃コードを含んでいるわけじゃあなく、
    OSが持っているセキュリティ障壁をバイパスするための素体ないし道具
    として使われたりするわけdos.
    ヨウするに、発見したFireEyeが伏せてたり触れていないところで、
    Microsoftがあっさり名前を出してきた例のあれがその素体なんじゃあ
    ないかなぁと思う次第death.
    例えばの話、古いDLLが故にASLRに対応しない固定アドレスへの読み込み
    なのかなーtokatoka,
    FireEyeでも意味深にアドレスを出して仄めかしている米.
    言い換えると、同じような事が可能な別の素体さえ見つけちゃえば、
    似たような事が出来るのだρ.
    そこが
    >IE 自体の脆弱性は 残る
    に該当するのカナカナ?などと考えたりするのdeath.
    というのが、現時点の一つの不確かな考察デス,
    悪魔で適当な推測なので本当とは岩内.
    信じるか信じないかは貴方私大.

  5. moune より:

    Flashに関していうと、ご存じのとおり、FLASHは万能ツールなのデス.
    万能ツールがゆえに、攻撃者にとっても万能ツールなのDeath.
    ブラウザ経由の攻撃のつの例で大まかにいうと、
    任意のコードをダウンロードして、OSにばれないように、障壁をバイパス
    しつつメモリー上に配置して、処理を受け渡す的なアプローチナンス.
    でもって、任意のコードの本体そのままだとアンチウイルスソフトにも
    すぐばれるもんだから、Jpg画像に紛れ込ませたり、今回なら音に偽装させて、
    しかもエンコードしたりして見分けがつかないようにするテクニックが
    使われたりするんす米.
    Flash Playerはアホかつ有能だから自分が悪意のある行動をやっているか
    どうかも自覚できないお茶目な子なんdos.
    ばれないようにダウンロードしてエンコードしたり、デコードしたり、
    障壁をバイパスするための素体をうまく転がしたり、OSやアンチウイルス
    ソフトから発覚されづらくする高度な工作が出来て縞馬.
    万能で行動に分別つけられないからしょっちゅう0dayという名のお漏らしを
    発生させるんDeath.
    しかも、Chromeでは統合されているし、Windows8以降ではOSに標準で
    入れられているし、攻撃側にとっても便利な状況が用意されている米,
    白紙委任で多くの人が有効にして招き入れちゃってる市ね.
    なこともあって、やんちゃな攻撃者達によって、使い古されたテクニックと
    共に、いつまでも攻撃のサポートツールとしてFlashが使われるんDEATH.
    JavaScriptもFlashほどではないが、同じような事が言え〼.

  6. moune より:

    Flashに関していうと、ご存じのとおり、FLASHは万能ツールなのデス.
    万能ツールがゆえに、攻撃者にとっても万能ツールなのDeath.
    ブラウザ経由の攻撃のつの例で大まかにいうと、
    任意のコードをダウンロードして、OSにばれないように、障壁をバイパス
    しつつメモリー上に配置して、処理を受け渡す的なアプローチナンス.
    でもって、任意のコードの本体そのままだとアンチウイルスソフトにも
    すぐばれるもんだから、Jpg画像に紛れ込ませたり、今回なら音に偽装させて、
    しかもエンコードしたりして見分けがつかないようにするテクニックが
    使われたりするんす米.
    Flash Playerはアホかつ有能だから自分が悪意のある行動をやっているか
    どうかも自覚できないお茶目な子なんdos.
    ばれないようにダウンロードしてエンコードしたり、デコードしたり、
    障壁をバイパスするための素体をうまく転がしたり、OSやアンチウイルス
    ソフトから発覚されづらくする高度な工作が出来て縞馬.
    万能で行動に分別つけられないからしょっちゅう0dayという名のお漏らしを
    発生させるんDeath.
    しかも、Chromeでは統合されているし、Windows8以降ではOSに標準で
    入れられているし、攻撃側にとっても便利な状況が用意されている米,
    白紙委任で多くの人が有効にして招き入れちゃってる市ね.
    なこともあって、やんちゃな攻撃者達によって、使い古されたテクニックと
    共に、いつまでも攻撃のサポートツールとしてFlashが使われるんDEATH.
    JavaScriptもFlashほどではないが、同じような事が言え〼.

  7. 2000最高 より:

    kb2964358はXPも対象になったけど2000は流石にサポートされませんでしたね
    しかしこれって2000にも使えるようにならないかしら?
    それともセキュリティ リリース ISO イメージにひっそりと混ぜ込んでくる?

  8. 2000最高 より:

    kb2964358はXPも対象になったけど2000は流石にサポートされませんでしたね
    しかしこれって2000にも使えるようにならないかしら?
    それともセキュリティ リリース ISO イメージにひっそりと混ぜ込んでくる?

  9. 名無し より:

    IE6~以降のPatchをReleaseするそうで。
    XPの対応もされるとの事ですが、はてさて。

  10. 名無し より:

    IE6~以降のPatchをReleaseするそうで。
    XPの対応もされるとの事ですが、はてさて。

  11. jm より:

    flashプレイヤーで謎のグラフィックオブジェクトゾンビが頻発してたのが本脆弱性発表のタイミングで直ったんだけど…

  12. jm より:

    flashプレイヤーで謎のグラフィックオブジェクトゾンビが頻発してたのが本脆弱性発表のタイミングで直ったんだけど…

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です