• [アーティクル]

セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2264072

Windows サービス分離バイパスを使用した特権の昇格

公開日: 2010 年 8 月 10 日

バージョン: 1.0

一般情報

概要

Microsoft は、Windows サービス分離機能を利用して特権を昇格させる攻撃の可能性を認識しています。 このアドバイザリでは、潜在的な攻撃シナリオについて説明し、この問題から保護するために役立つ推奨されるアクションを提供します。 このアドバイザリでは、Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) を介した潜在的な攻撃シナリオの 1 つに対するセキュリティ以外の更新プログラムも提供されます。

この問題は、NetworkService アカウントが所有するプロセス内で信頼されていないコードが実行されているシナリオに影響します。 このようなシナリオでは、攻撃者が NetworkService アカウントとしてのプロセスの実行から、ターゲット サーバー上の LocalSystem アカウントとしてのプロセスの実行に昇格する可能性があります。 LocalSystem アカウントとして実行中のプロセスに正常に昇格した攻撃者は、任意のコードを実行し、影響を受けるシステムを完全に制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

ほとんどの状況では、信頼されていないコードが NetworkService ID で実行されていませんが、次のシナリオが可能な例外として識別されています。

  • 既定以外の構成で インターネット インフォメーション サービス (IIS) を実行しているシステムは、特に IIS が Windows Server 2003 および Windows Server 2008 で実行されている場合、リスクが高くなります。これらのシステムの既定のワーカー プロセス ID は NetworkService であるためです。
  • ユーザーに SQL Server 管理者特権が付与されている SQL Server を実行しているシステムでは、リスクが高くなります。
  • Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) を実行しているシステムは、リスクが高くなります。

上記のシナリオの詳細については、「よく寄せられる質問」セクションを参照してください。 TAPI シナリオでは、Microsoft はセキュリティ以外の更新プログラムを提供しています。 セキュリティ以外の更新プログラムの詳細については、「Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) の脆弱性についてよく寄せられる質問 - CVE-2010-1886」セクションを参照してください。

さらに、Microsoft Active Protections Program (MAPP) のパートナーと積極的に協力して、より広範な保護を顧客に提供するために使用できる情報を提供しています。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

リファレンス [識別]
CVE リファレンス CVE-2010-1886
Microsoft サポート技術情報の記事 2264072
TAPI のセキュリティ以外の更新プログラムに関する Microsoft サポート技術情報の記事 982316

影響を受けるソフトウェアと影響を受けないもの

このアドバイザリでは、次のソフトウェアについて説明します。
影響を受けるソフトウェア
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itanium ベースのシステム用 Windows Server 2003 SP2
Windows Vista Service Pack 1 と Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32 ビット システム Service Pack 2
x64 ベースシステム Service Pack 2 用 Windows Server 2008
Windows Server 2008 for Itanium ベースのシステム Service Pack 2
Windows 7 for 32 ビット システム
Windows 7 for x64 ベースのシステム
x64 ベース システム用 Windows Server 2008 R2
Windows Server 2008 R2 for Itanium-based Systems

よく寄せられる質問

アドバイザリの範囲は何ですか?
このセキュリティ アドバイザリは、Windows サービス分離機能の適切な使用と制限を明確にし、回避策を提供することで、Windows サービス分離機能を利用する攻撃の可能性に対処します。

このセキュリティ アドバイザリでは、Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) を介して攻撃ベクトルに対処するために、Microsoft ダウンロード センターからダウンロードできる、オプションのセキュリティ以外の更新プログラムの通知も提供されます。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 Windows サービス分離機能は、一部のお客様が展開を選択できるオプションの構成です。 この機能は、すべての顧客に適しているわけではありません。 Windows サービスの分離は多層防御機能であり、適切なセキュリティ境界ではないため、そのように解釈しないでください。

Windows サービス分離機能とは
Windows サービス分離機能はセキュリティの脆弱性を修正しませんが、代わりに多層防御機能であり、一部のお客様に役立つ可能性があります。 たとえば、サービス分離を使用すると、高い特権アカウントを実行したり、オブジェクトのセキュリティ保護を弱めたりすることなく、特定のオブジェクトにアクセスできます。 サービス SID を含むアクセス制御エントリを使用することにより、SQL Server サービスはそのリソースへのアクセスを制限することができます。 この機能と適切に構成する方法の詳細については、マイクロソフト サポート技術情報の記事2264072を参照してください

"認証後にクライアントを偽装する" 特権とは
この特権をユーザーに割り当てると、そのユーザーに代わって実行されているプログラムがクライアントを偽装できるようになります。 この種の偽装に対してこのユーザー権限を要求すると、承認されていないユーザーが作成したサービスに (たとえば、リモート プロシージャ コール (RPC) または名前付きパイプによって) 接続するようにクライアントに促し、そのクライアントを偽装することを防ぐことができます。これにより、承認されていないユーザーのアクセス許可を管理レベルまたはシステム レベルに昇格させることができます。

NetworkService アカウントとは
NetworkService アカウントは、サービス コントロール マネージャーによって使用される定義済みのローカル アカウントです。 ローカル コンピューターに対する特別な特権があり、ネットワーク上のコンピューターとして機能します。 NetworkService アカウントのコンテキストで実行されるサービスは、コンピューターの資格情報をリモート サーバーに提示します。 詳細については、MSDN の記事 「NetworkService アカウント」を参照してください。

IIS はこの問題の影響を受けますか?
インターネット インフォメーション サービス (IIS) でユーザー指定のコードを実行しているシステムが影響を受ける可能性があります。 たとえば、ISAPI フィルター、ISAPI 拡張機能、完全な信頼で実行されている ASP.NET コードは、この脆弱性の影響を受ける可能性があります。

IIS サーバーは、次のシナリオでこのアドバイザリで説明されている攻撃のリスクが軽減されます。

  • IIS 5.1、IIS 6.0、IIS 7.0 の既定のインストールでは、既定の構成では匿名アップロードが許可されないため、匿名ユーザーからの攻撃ベクトルがブロックされます。
  • IIS 経由のすべての既知の攻撃ベクトルはブロックされます。ASP.NET は、完全信頼よりも低い信頼レベルで実行するように構成されています。

Web サーバーで成功するためには、攻撃者は最初に特別に細工された Web コンテンツを IIS Web サイトに追加する必要があります。 攻撃者は、この特別に細工された Web コンテンツへのアクセスを使用して、実行中のプロセスに LocalSystem として昇格させる可能性があります。

通常、信頼されていないユーザーは、IIS Web サイトに Web コンテンツを追加できません。 ただし、一部の Web ホストは、サードパーティの Web コンテンツのホスティングを明示的に提供しているため、攻撃のリスクが高くなります。

Windows Server 2003 および Windows Server 2008 上の IIS は、既定のワーカー プロセス ID が NetworkService であるため、この問題のリスクが高い可能性があります。

攻撃者が IIS サーバーでこの問題を悪用する方法
攻撃者は、特別に細工された Web ページを Web サイトにアップロードし、このページへのアクセスを使用して、実行中のプロセスに LocalSystem として昇格させる可能性があります。 これには、ユーザーが指定したコンテンツまたは広告を受け入れる、またはホストする Web サイトに特別に細工されたコンテンツをアップロードすることも含まれます。 また、バナー広告を使用するか、他の方法を使用して影響を受けるシステムに Web コンテンツを配信することで、特別に細工された Web コンテンツを表示することもできます。

SQL Server はこの問題の影響を受けますか?
SQL Server を実行しているシステムは、ユーザーに SQL Server 管理者特権が付与されている場合に影響を受ける可能性があります (これにより、ユーザーはコードを読み込んで実行できます)。 SQL Server の管理者特権を持つユーザーは、攻撃を利用するために使用される特別に細工されたコードを実行できます。 ただし、この特権は既定では付与されません。

攻撃者が SQL サーバーでこの問題を悪用する方法
SQL Server の管理者特権を持つユーザーは、影響を受ける SQL サーバーへの攻撃を利用するために使用される特別に細工されたコードを実行できます。

TAPI はこの問題の影響を受けますか?
Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) がこの問題の影響を受ける方法については、次のセクション 「Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) の脆弱性に関してよく寄せられる質問 - CVE-2010-1886」を参照してください。

攻撃者はこの問題を使用して何を行う可能性がありますか?
この問題を悪用した攻撃者は、LocalSystem アカウントのコンテキストで特別に細工されたコードを実行する可能性があります。 攻撃者はその後、プログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全な LocalSystem 権限を持つ新しいアカウントを作成します。

この問題によって主に危険にさらされているシステムは何ですか?
[概要] セクションに記載されているソフトウェアを実行しているすべてのシステムは危険にさらされますが、Windows XP Professional Service Pack 3 と、IIS を実行している Windows Server 2003 および Windows Server 2008 のすべてのサポートされているエディションは、リスクが高くなります。

さらに、ユーザーがコードをアップロードできる IIS Web サーバーのリスクが高まります。 これには、Web ホスティング プロバイダーや同様の環境が含まれる場合があります。

信頼されていないユーザーに特権アカウント アクセスが許可されている場合、SQL Server システムは危険にさらされます。

このセキュリティ アドバイザリで説明されているソフトウェアの古いリリースを使用しています。 どうすればよいですか。
このアドバイザリに記載されている影響を受けるソフトウェアは、影響を受けるリリースを特定するためにテストされています。 他のリリースはサポート ライフサイクルを過ぎている。 製品ライフサイクルの詳細については、Microsoft サポート ライフサイクル Web サイトを参照してください。

ソフトウェアの古いリリースをお持ちのお客様は、脆弱性にさらされる可能性を防ぐために、サポートされているリリースに移行することが優先されます。 ソフトウェア リリースのサポート ライフサイクルを決定するには、「ライフサイクル情報の製品を選択する」を参照してください。 これらのソフトウェア リリースのサービス パックの詳細については、「ライフサイクルでサポートされるサービス パック」を参照してください

古いソフトウェアのカスタム サポートを必要とするお客様は、カスタム サポート オプションについて、Microsoft アカウント チームの担当者、テクニカル アカウント マネージャー、または適切な Microsoft パートナー担当者にお問い合わせください。 アライアンス、プレミア、または承認された契約を持たないお客様は、お住まいの地域の Microsoft 営業所にお問い合わせください。 連絡先情報については、Microsoft Worldwide Information Web サイトにアクセスし、[連絡先情報] リストで国を選択し、[移動] をクリックして電話番号の一覧を表示します。 お電話の際は、地元の Premier サポートセールスマネージャーにお問い合わせください。 詳細については、Microsoft サポート ライフサイクル ポリシーに関する FAQ を参照してください

Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) の脆弱性に関してよく寄せられる質問 - CVE-2010-1886

この脆弱性のセキュリティ以外の更新プログラムはどこにありますか?
この更新プログラムは、Microsoft ダウンロード センターからのみダウンロードできます。 ダウンロード リンクや動作の変更など、更新プログラムの詳細については、Microsoft サポート技術情報の記事982316を参照してください

Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) とは
TAPI サーバー (TAPISRV) は、ユーザー コンピューター上のテレフォニー データの中央リポジトリです。 このサービス プロセスは、ローカルおよびリモートのテレフォニー リソース、支援されたテレフォニー要求を処理するために登録されたアプリケーション、保留中の非同期機能を追跡し、テレフォニー サービス プロバイダー (TSP) との一貫性のあるインターフェイスも可能にします。 TAPI サーバーと他のコンポーネントの関係とその役割の概要を示す図の詳細については、「Microsoft テレフォニー プログラミング モデル」を参照してください

この脅威の原因は何ですか?
この脆弱性は、Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) トランザクション機能が原因で、RPC 呼び出しを行うときに NetworkService トークンを取得して使用できるようにするためです。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 この更新プログラムは、一部のお客様がデプロイを選択できる多層防御の変更を実装します。 IIS または SQL を実行していないお客様、または以下に示す回避策を実装したお客様は、この多層防御更新プログラムを適用する前に評価する必要があります。

これは、セキュリティ以外の更新プログラムに関するセキュリティ アドバイザリです。 矛盾しているのではないですか?
セキュリティ アドバイザリは、セキュリティ情報を必要としないが、お客様の全体的なセキュリティに影響を与える可能性があるセキュリティの変更に対処します。 セキュリティ アドバイザリは、脆弱性として分類されず、セキュリティ情報を必要としない可能性がある問題や、セキュリティ情報がリリースされていない問題に関するセキュリティ関連情報を Microsoft が顧客に伝える方法です。 この場合、セキュリティ更新プログラムを含む、後続の更新プログラムを実行する機能に影響を与える更新プログラムの可用性が通知されます。 したがって、このアドバイザリは特定のセキュリティの脆弱性には対処しません。むしろ、それはあなたの全体的なセキュリティに対処します。

Microsoft がこのコンポーネントの更新プログラムを発行するのはなぜですか?
これはセキュリティ更新プログラムを発行する必要がある脆弱性ではありませんが、攻撃者はシステムとして実行される TAPI サービスを使用して NetworkService から LocalSystem に昇格する可能性があります。 この問題を悪用するには、管理者特権で攻撃者が既に実行されている必要があります。 このサービス分離は多層防御手段としてのみ実装されており、セキュリティ境界を構成するものではありません。

この脆弱性によって主に危険にさらされているシステムは何ですか?
Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) を実行しているシステムは、主に危険にさらされます。 これには、「概要」セクションにリストされているソフトウェアを実行しているすべてのシステムが含まれる場合があります。 さらに、Windows XP Professional Service Pack 3 と、IIS を実行している Windows Server 2003 および Windows Server 2008 のすべてのサポートされているエディション、ユーザーがコードをアップロードできる IIS Web サーバー、信頼されていないユーザーに特権アカウント アクセスが許可されている SQL Server システムは、リスクが高くなります。 これには、Web ホスティング プロバイダーや同様の環境が含まれる場合があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、システム レベルの特権で特別に細工されたコードを実行する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 攻撃者は、この問題を正常に悪用するために、コードを NetworkService として実行するアクセス許可を既に持っている必要があります。

軽減要因と推奨されるアクション

軽減要因

軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。

  • この脆弱性を悪用するには、攻撃者がターゲット システムで NetworkService アカウントとしてコードを実行できる必要があります。
  • 既定の設定を使用する IIS サーバーは、この問題の影響を受けません。

対処方法

回避策とは、基になる問題を修正しないが、セキュリティ更新プログラムが利用可能になる前に既知の攻撃ベクトルをブロックするのに役立つ設定または構成の変更を指します。 Microsoft は、回避策によって機能が低下するかどうかを説明する中で、次の回避策と状態をテストしました。

  • IIS でアプリケーション プール用に WPI を構成する

    IIS 6.0 の場合は、次の手順を実行します。

    1. IIS マネージャーで、ローカル コンピューターを展開し、[アプリケーション プール] を展開し、アプリケーション プールを右クリックし、[プロパティ] を選択します
    2. [ID] タブをクリックし、[構成可能] をクリックします。 [ユーザー名] ボックスと [パスワード] ボックスに、ワーカー プロセスを操作するアカウントのユーザー名とパスワードを入力します。
    3. 選択したユーザー アカウントを IIS_WPG グループに追加します。

    IIS 7.0 以降の場合は、次の手順を実行します。

    1. 管理者特権のコマンド プロンプトから、%systemroot%\system32\inetsrv ディレクトリに変更します。
    2. 文字列がアプリケーション プールの名前である次の構文を使用して、APPCMD.exe コマンドを実行します。**userName:**string は、アプリケーション プールに割り当てられたアカウントのユーザー名です。および **password:**string はアカウントのパスワードです。
      appcmd set config /section:applicationPools / [name='string'].processModel.identityType:SpecificUser / [name='string'].processModel.userName:string /
      [name='string'].processModel.password:string

  • CVE-2010-1886 のセキュリティ以外の更新プログラムを適用する

    Microsoft ダウンロード センターからのみダウンロードできる Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) の脆弱性 (CVE-2010-1886) のセキュリティ以外の更新プログラムを適用します。 ダウンロード リンクや動作の変更など、更新プログラムの詳細については、Microsoft サポート技術情報の記事982316を参照してください

その他の推奨されるアクション

  • PC を保護する

    ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。

    インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください

  • Windows を更新したままにする

    すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。

その他の情報

謝辞

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • Windows テレフォニー アプリケーション プログラミング インターフェイス (TAPI) の脆弱性に関する Argeniss の Cerrudo の脆弱性 (CVE-2010-1886)

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2010 年 8 月 10 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00