Windows アプリケーションおよびインストーラにおける DLL 読み込みに関する脆弱性
この類似例は色々とあって度々報告されているんだとねぇ。 昨年の今頃にもあったし(しかも該当製品が多くて対策が長引いている)。
今回の一連の報告は以下の通り。
| ID | タイトル | 深刻度 | 発見日 | 最終更新日 |
|---|---|---|---|---|
| JVNDB-2018-000049 | Microsoft 製の複数の Windows アプリケーションおよびインストーラにおける DLL 読み込みに関する脆弱性 | 重要 (7.8) | 2018年5月17日 | 2018年5月17日 |
| JVNDB-2018-000050 | IExpress で作成された自己解凍書庫における DLL 読み込みに関する脆弱性 | 重要 (7.8) | 2018年5月17日 | 2018年5月17日 |
| JVNDB-2018-000051 | Visual C++ 再頒布可能パッケージのインストーラにおける DLL 読み込みの脆弱性 | 重要 (7.8) | 2018年5月17日 | 2018年5月17日 |
この記事では JVNDB-2018-000049 を以下に挙げておく。
脆弱性の概要
Microsoft が提供する複数の Windows アプリケーションおよびインストーラには、DLL を読み込む際の検索パスに関する処理に不備があり、該当するアプリケーションやインストーラと同一のディレクトリ内に存在する特定の DLL ファイルを読み込んでしまう脆弱性 (CWE-427) が存在します。 開発者によると、本件は「アプリケーション ディレクトリにおける DLL の植え付け」の問題であり、実際の攻撃実現性は限定的であるため、セキュリティ更新プログラムによる対応は行なわないとのことです。
開発者による「アプリケーション ディレクトリにおける DLL の植え付け」への対応については、開発者が提供する情報をご確認ください。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
- CVE-2018-0592、CVE-2018-0593、CVE-2018-0596 報告者: 三井物産セキュアディレクション株式会社 吉川孝志 氏
- CVE-2018-0594 報告者: PinkFlyingWhale 黒翼猫 氏
- CVE-2018-0595、CVE-2018-0597 報告者: 英利 雅美 氏
想定される影響
本脆弱性の影響を受けるアプリケーションやインストーラを実行する際に、細工された DLL ファイルが同一ディレクトリに置かれていた場合、当該アプリケーションやインストーラの権限で任意のコードを実行される可能性があります。
影響を受ける製品
- マイクロソフト / Microsoft OneDrive - CVE-2018-0592
- マイクロソフト / Microsoft OneDrive のインストーラ - CVE-2018-0593
- マイクロソフト / Skype for Windows - CVE-2018-0594
- マイクロソフト / Skype for Windows のインストーラ - CVE-2018-0595
- マイクロソフト / Visual Studio Code のインストーラ - CVE-2018-0597
- マイクロソフト / Visual Studio Community のインストーラ - CVE-2018-0596
深刻度
重要 (7.8) : CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本評価基準 評価値 攻撃元区分 ローカル 攻撃条件の複雑さ 低 必要な特権レベル 不要 ユーザ関与レベル 要 スコープ 変更なし 機密性への影響 高 完全性への影響 高 可用性への影響 高 対策
[ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- システムディレクトリへの書き込みは管理者にのみ許可する (Windows の初期設定)
- Windows PC は管理者権限を持たない標準ユーザアカウントで操作することを原則とし、必要なときのみ管理者アカウントで操作する
- インストーラは新たに作成したディレクトリに保存し、他の無関係なファイルが存在しない状態で実行する
- アプリケーションをインストールしたディレクトリに信用できないファイルが存在しないことを確認する
- 社内でインストーラを共有ディレクトリに置き、各 Windows PC にインストールさせるような運用を行っている場合は、当該ディレクトリを読み取り専用にする
Microsoft OneDrive など、アプリケーションによってはユーザディレクトリ配下にインストールされる場合があります。各アプリケーションにあわせて適切なワークアラウンドを実施してください。
関連情報
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0592
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0593
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0594
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0595
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0596
- Common Vulnerabilities and Exposures (CVE) CVE-2018-0597
- JVN JVN#91151862
- JVN JVNTA#91240916
- JVNDB CWE-Other その他
- Microsoft TechNet DLL の植え付けの脆弱性のトリアージ
今回の件は DOS/Windows 設計の根幹に関わるもので,将来的には何らかの緩和策が提示されるかもしれないが,基本的にはユーザ側で気をつけるしかない。
まぁ,でも,こういう面倒くさい事があったりするので Windows を捨てようと思ってるんだけどね。