月別アーカイブ: 2018年4月

ZendCon & OpenEnterprise 2018 – Call for Speakers

The Call For Papers for ZendCon & OpenEnterprise 2018 is now open!

ZendCon & OpenEnterprise is the premier open source conference designed to teach and share practical experiences from the front lines of business critical and enterprise environments, giving you the opportunity to speak in front of technical business leaders, strategists, and developers seeking the best knowledge around the operational advantages of open source. This is your chance to tell everyone what you’ve learned and enrich our community of enterprise technology practitioners.

The CFP is open until May 25, 2018.

PHP 5.6.36 Released

The PHP development team announces the immediate availability of PHP 5.6.36. This is a security release. Several security bugs have been fixed in this release. All PHP 5.6 users are encouraged to upgrade to this version.

For source downloads of PHP 5.6.36 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 7.0.30 Released

The PHP development team announces the immediate availability of PHP 7.0.30. This is a security release. Several security bugs have been fixed in this release. All PHP 7.0 users are encouraged to upgrade to this version.

For source downloads of PHP 7.0.30 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 7.2.5 Released

The PHP development team announces the immediate availability of PHP 7.2.5. This is a security release which also contains several minor bug fixes.

All PHP 7.2 users are encouraged to upgrade to this version.

For source downloads of PHP 7.2.5 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

Mid-Atlantic Developer Conference

We are excited to announce the schedule for the 1st annual Mid-Atlantic Developer Conference taking place this summer on July 13-14 near Baltimore, MD.

This is a brand new polyglot developer event designed to bring together programmers from the region for two full days of learning. We've put together an electic set of sessions and workshops for you. You'll recognize some names from the PHP community, as well as see brand new speakers at this event. We are including sessions on Caching, Hiring, Polymer, Bots, Security, Encryption, SVG, WebAssembly, GraphQL, Accessibility, Mentorship, Augmented Reality, Testing, AWS, Docker, Troubleshooting, Gherkin, Ethereum, Health and much more!

We are especially excited to welcome Jim Jagielski, core-developer of Apache and former CTO of Zend Technologies, as one of our four keynote speakers!

Please join us to become part of this inaugural event! Tickets start at just $195 - You won't want to miss it!

International PHP Conference 2018 – Fall Edition

The International PHP Conference is the world's first PHP conference and stands since more than a decade for top-notch pragmatic expertise in PHP and web technologies. At the IPC, internationally renowned experts from the PHP industry meet up with PHP users and developers from large and small companies. Here is the place where concepts emerge and ideas are born - the IPC signifies knowledge transfer at highest level.

All delegates of the International PHP Conference have, in addition to PHP program, free access to the entire range of the International JavaScript Conference taking place at the same time.

Basic facts:

Date: October 15 - 19, 2018

Location: Holiday Inn Munich City Centre, Munich

Highlights:

  • 90+ best practice sessions
  • 60+ international top speakers
  • PHPower: Hands-on Power Workshops
  • Expo with exciting exhibitors on October 16th & 17th
  • Conference Combo: Visit the International JavaScript Conference for free
  • All inclusive: Changing buffets, snacks & refreshing drinks
  • Official certificate for attendees
  • Free Swag: Developer bag, T-Shirt, magazines etc.
  • Exclusive networking events

Topics

  • PHP Development
  • Testing & Quality
  • Web Architecture
  • DevOps
  • Server & Deployment
  • Web Development

For further information on the International PHP Conference visit: www.phpconference.com

挙動監視と機械学習で大規模な「Dofoil」によるコイン マイニング攻撃を阻止

本記事は、Microsoft Secure のブログBehavior monitoring combined with machine learning spoils a massive Dofoil coin mining campaign” (2018 3 7 日 米国時間公開) を翻訳したものです


更新情報: この攻撃についてさらに分析した結果、ピアツーピア (P2P) アプリケーションの更新が汚染されていたことがわかりました。詳細については、汚染されたピアツーピアのアプリにより Doflil コイン マイニングの拡散が開始 (英語情報) をご覧ください。企業ネットワークで Dofoil を検出および対応するには、Windows Defender ATP でDofoil を追い詰めるをご覧ください。

 

3 月 6 日の正午 (太平洋標準時) ごろ、Windows Defender ウイルス対策によって、高度なクロスプロセス インジェクション、永続化メカニズム、回避などの巧妙な手法を駆使した 8 万件以上のトロイの木馬のインスタンスがブロックされました。このトロイの木馬は、コイン マイニング (仮想通貨採掘) (英語情報) ペイロードが仕組まれた「Dofoil (別名 Smoke Loader)」の新亜種で、挙動ベースのシグナルとクラウドを使用した機械学習モデルによってこの新しい感染の試みが検出されました。最初の検出から 12 時間で 40 万件以上のインスタンスが発生しており、世界中の遭遇のうち 73% はロシア、18% はトルコ、4% はウクライナで検出されています。

1. Dofoil 攻撃コンポーネントの地理的分布

Windows Defender AV はまず、挙動監視機能で攻撃の異常な永続化メカニズムにフラグを付け、挙動ベースのシグナルを即座にマイクロソフトのクラウド保護サービスに送信しました。

  1. クラウド上の複数のメタデータベースの機械学習モデルは、シグナルを受信した数ミリ秒以内に、この初見の脅威のブロックを開始しました。
  2.  数秒後には、サンプル ベースおよびデトネーション ベースの機械学習モデルでも、このシグナルの悪意性を分類し、数分後には、デトネーションベースのモデルで追加の確認が加えられました。
  3.  数分以内に、異常検出アラートを通じて、新手のマルウェアの感染拡大の可能性をマイクロソフトに通知しました。
  4. マイクロソフトの対応チームで分析を行い、この新しい脅威の分類名を適切なマルウェア ファミリに更新しました。これにより、初期の攻撃をブロックした際に FueryFuerboosCloxerAzden といった機械学習名で表示されていた情報は、Dofoil または Coinminer という正式なファミリ名で表示されるようになりました。

Windows Defender AV または Microsoft Security Essentials を実行している Windows 10Windows 8.1Windows 7 ユーザーはいずれも、この最新のマルウェアから保護されています。

2. Windows Defender AV の多層化された機械学習による防御

Windows Defender AV の人工知能と挙動ベースの検出は、マイクロソフトの防御システムの中核を成すテクノロジです。今回の攻撃に対する AI ベースの先制的な保護は、機械学習の多層防御が先月 Emotet の拡散を阻止したしくみと同様のものです。

コード インジェクションとコイン マイニング

Dofoil は、攻撃にコイン マイニングを組み込んだ最新のマルウェア ファミリです。ビットコインなどの仮想通貨の価値が上昇している今、攻撃にコイン マイニング コンポーネントを組み込もうとするマルウェア運用者が増えています。たとえば、エクスプロイト キットにランサムウェアの代わりにコイン マイニング マルウェアを組み込んだり、偽のテクニカル サポート サイトにコイン マイニング スクリプトを追加したり、バンキング型トロイの木馬ファミリにコイン マイニングの挙動を追加したりしています。

3 6 日に検出された Dofoil 攻撃の発端は、explorer.exe 上でプロセス ハロウイング (英語情報) を実行するトロイの木馬でした。プロセス ハロウイングとは、正規のプロセス (このケースでは C:\windows\syswow64\explorer.exe) の新しいインスタンスを作成し、正常なコードをマルウェアに置き換えるコード インジェクションの手法です。

3. Windows Defender ATP で検出されたプロセス ハロウイング (SHA-256: d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4dWindows Defender AV の検出名: TrojanDownloader:Win32/Dofoil.AB (英語情報))

その後、ハロウイングされた explorer.exe プロセスは、2 つ目の悪意のあるインスタンスを起動します。このインスタンスは、正規の Windows バイナリ wuauclt.exe を偽装したコイン マイニング マルウェアを投下して実行します。

4. Windows Defender ATP が検出したコイン マイニング マルウェア (SHA-256: 2b83c69cf32c5f8f43ec2895ec9ac730bf73e1b2f37e44a3cf8ce814fb51f120Windows Defender AV の検出名: Trojan:Win32/CoinMiner.D (英語情報))

正規の Windows バイナリ ファイル名を使用しているものの、実行元が適切な場所ではなく、コマンドラインも正規のバイナリと比べて変則的で、さらに、このバイナリからのネットワーク トラフィックも不審であることがわかります。

5. Windows Defender ATP のアラート プロセス ツリーに表示された変則的な IP 通信

6. Windows Defender ATP に表示された不審なネットワーク アクティビティ

7. Windows Defender ATP のアラート プロセス ツリーに表示された、ハロウイングされた explorer.exe プロセスによる不審な接続

Dofoil はカスタマイズされたマイニング アプリケーションを使用しています。コードの内容から、このコイン マイニング マルウェアは、複数種類の仮想通貨を採掘する NiceHash をサポートしていることがわかります。分析したサンプルは、Electroneum コインを採掘するものでした。

永続化

コイン マイニング マルウェアでは、永続化が重要とされています。この種のマルウェアは、さまざまな手法で長期間検出を免れながら、盗んだコンピューター リソースを使用してコインを採掘します。

Dofoil の場合は、身を潜めるためにレジストリを書き換えます。ハロウイングされた explorer.exe プロセスが、AppData\Roaming フォルダーに元のマルウェアのコピーを作成し、ditereah.exe という名前に変更します。次に、レジストリ キーを作成するか、既存のレジストリ キーを変更して、新たに作成したマルウェアのコピーを指定します。分析したサンプルでは、このマルウェアによって OneDrive Run キーが変更されていました。

8. Windows Defender ATP のアラート プロセス ツリーに表示された新しいマルウェア プロセスの作成 (SHA-256: d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d) とレジストリの変更

コマンド アンド コントロール サーバーとの通信

Dofoil は、持続性のあるダウンローダー型のトロイの木馬ファミリであり、コマンド アンド コントロール (C&C) サーバーに接続して、マルウェアをダウンロード、インストールするためのコマンドをリッスンします。3 6 日の攻撃では、Dofoil C&C 通信には Namecoin (英語情報) の分散型ネットワーク インフラストラクチャが使用されました。

ハロウイングされた explorer.exe プロセスは、Temp フォルダーに別のバイナリ D1C6.tmp.exe (SHA-256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) を書き込んで実行します。その後、D1C6.tmp.exe lyk.exe という名前の自身のコピーを投下して実行します。lyk.exe が実行されると、Namecoin ネットワークの DNS プロキシ サーバーとして機能する IP アドレスに接続し、Namecoin インフラストラクチャ内の C&C サーバー vinik.bit への接続を試みます。C&C サーバーからの指示により、特定の IP アドレスへの接続または切断、特定の URL からのファイルのダウンロードとそのファイルの実行または終了、一定期間のスリープのいずれかをマルウェアが実行します。

9. Windows Defender ATP のアラート プロセス ツリーに表示された一時ファイル D1C6.tmp.exe の作成 (SHA-256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c)

10. Windows Defender ATP のアラート プロセス ツリーに表示された lyk.exe による IP アドレスへの接続

Windows 10 の保護機能

仮想通貨の価値上昇に伴い、ネットワークに潜伏してコイン マイニングを実行するサイバー犯罪者グループの攻撃が増えています。

Windows Defender AV (英語情報) の多層構造のセキュリティ アプローチでは、挙動ベースの検出アルゴリズム、ジェネリック、ヒューリスティック、クライアントとクラウドの両方の機械学習モデルを使用して、新たな脅威やマルウェアの大量感染からリアルタイムで保護します。

上記の図のように、Windows Defender Advanced Threat Protection (Windows Defender ATP) は、インストール、コード インジェクション、永続化メカニズム、コイン マイニング アクティビティといった悪意のある挙動にフラグを付けます。セキュリティ運用チームは、Windows Defender ATP の豊富な検出ライブラリにより、ネットワーク内の異常なアクティビティを検出して対応することができます。Windows Defender ATP には、Windows Defender AVWindows Defender Exploit GuardWindows Defender Application Guard の保護機能も統合されており、シームレスなセキュリティ管理エクスペリエンスを提供します。

Windows Defender ATP により組織が高度な攻撃を検出、調査、対応する仕組みを検証するには、無償の試用版をお試しください

 

Windows 10 S は、コイン マイニング マルウェアなどの脅威に対する保護機能を備えた、特別構成の Windows 10 です。実行可能なアプリが Microsoft ストアで提供されるものに限定されており、既定のブラウザーとして Microsoft Edge を使用するため、セキュリティはすべてマイクロソフトで検証済みです。

 

Windows Defender Researc

「Emotet」の大規模感染を阻止した人工知能のしくみ

本記事は、Microsoft Secure のブログHow artificial intelligence stopped an Emotet outbreak” (2018 2 14 日 米国時間公開) を翻訳したものです


2 3 日午前 12 46 (現地時間)、ノースカロライナ州に住む Windows 7 Pro のお客様が Trojan:Win32/Emotet (英語情報) と呼ばれる新手のマルウェア キャンペーンの攻撃の最初の被害者となりました。その後 30 分の間に 1,000 人以上に攻撃が仕掛けられましたが、Windows Defender AV の瞬時の自動保護により、すべてのお客様が被害を免れました。

この新しい攻撃を発見し、初期段階でブロックすることができたのは、クライアントとクラウドの両方に備えられた機械学習 (ML) モデルを使用した多層構造の機械学習 (英語情報) のおかげです。Windows Defender AV では、人工知能を活用して日々無数のマルウェアの拡散を瞬時に阻止しています。このブログ記事では、クライアントとクラウドの ML モデルを相互に活用して、新手のマルウェアを検出するしくみを詳しくご紹介します。

1. Windows Defender AV の多層構造の検出モデル

クライアント機械学習モデル

機械学習保護の 1 つ目の層は、コンピューターのローカル上で実行される Windows Defender AV クライアントに直接組み込まれた複数の小規模 ML モデルです。マルウェア作成者が頻繁に悪用する JavaScriptVisual Basic ScriptOffice マクロといった種類のファイル形式に特化したものに加えて、挙動検出や Portable Executable (PE) ファイル (.exe .dll) の検出を目的としたモデルもあります。

2 3 日に発生した Emotet (英語情報) の検出には、PE の勾配ブースティング ツリー アンサンブル モデルが使用されました。このモデルでは、ファイルのエミュレート時のアセンブリ オペコードのシーケンスの特性付けに基づいてファイルを分類し、実行をシミュレーションしてファイルの動きを確認します。

2. エミュレートされた実行オペコード機械学習モデルに基づき、クライアント ML モデルが Emotet を悪意のあるファイルに分類

ツリー アンサンブルのトレーニングには、高性能勾配ブースティングに使われるマイクロソフトのオープンソース フレームワークの LightGBM (英語情報) を使用しています。

3a. LightGBM を使用したトレーニングにより、Emotet のエミュレーション挙動の悪意性を発見したクライアント ML モデルの図。20 のデシジョン ツリーを組み合わせて、エミュレートされたファイルの挙動シーケンスに悪意があるかどうかを分類

3b. 3a の最初のデシジョン ツリーの詳細。各判定は、異なる特性の値に基づいて行われる。右下が緑のものは重み付けされた判定結果がクリーンであることを示し、赤いものはマルウェアであることを示す

クライアント ベースの機械学習モデルによって悪意性が高いと示された場合、豊富な特性ベクトルを使用してコンテンツを説明します。特性ベクトルには以下のような種類があります。

  • エミュレーション中の挙動 (API 呼び出しや実行されたコードなど)
  •  類似性のファジー ハッシュ
  • ML モデルでの使用に最適化されたコンテンツ説明フラグのベクトル
  • 研究者が作成した属性 (難読化に使用される Packer テクノロジなど)
  • ファイル名
  • ファイル サイズ
  • エントロピー レベル
  • ファイル属性 (セクション数など)
  • 静的コンテンツやエミュレートされたコンテンツの部分ファイル ハッシュ

上記の特性に基づいて形成されたシグナルを受信した Windows Defender AV のクラウド保護サービスは、リアルタイムで幅広い複雑なモデルを実行して、悪意の有無を瞬時に分類します。

リアルタイムのクラウド機械学習モデル

Windows Defender AV のクラウド ベースのリアルタイム分類器は、大量のメモリ、ディスク領域、コンピューティング リソースを使用する強力で複雑な ML モデルです。また、Microsoft Intelligent Security Graph によるグローバルなファイル情報とマイクロソフトの評価を活用してシグナルを分類します。このような複雑なモデルの場合、クラウドで実行するいくつかのメリットがあります。第 1 に、自身のコンピューターの貴重なリソースを使用する必要がなく、第 2 に、Microsoft Intelligent Security Graph のグローバルな情報と評価情報を考慮したうえで、より適切な判断を下すことができます。第 3 に、クラウド ベースのモデルの方が、サイバー犯罪者のすり抜けが難しいとされています。ローカル クライアントでは、攻撃者は気づかれずに防御モデルのテストを行うことができます。一方で、クラウドベースの防御策をテストするには、攻撃者がマイクロソフトのクラウド サービスと通信しなければならないため、簡単に発見することができます。

Windows Defender AV クライアントから 1 日に数十億件のクエリを受け取ってシグナルを分類しているクラウド保護サービスでは、1 日に数百万ものマルウェアをブロックし、数億人ものお客様を保護することが可能です。現在、Windows Defender AV のクラウド保護サービスでは、約 30 の強力なモデルが並列で実行されています。それぞれのモデルには数百万の特性が組み込まれており、その大半が毎日更新されて、急速に変化する脅威に適応しています。すべての分類器を組み合わせることで、幅広い分類が可能になり、コンピューターでスキャンされているコンテンツの有用な情報が利用できるようになります。

クラウド ML モデルの分類と、アンサンブル ML 分類器、評価ベースのルール、許可リストのルール、Microsoft Intelligent Security Graph のデータなどを組み合わせて、各シグナルを最終的に判定します。そして、クラウド保護サービスは Windows Defender クライアントに対して、1 秒もかからずに悪意の有無の判定結果を伝えます。

4. Windows Defender AV のクラウド保護サービスのワークフロー

Emotet の事例では、お客様からのクエリを最も多く受信したのは、最初の攻撃が始まった北米リージョンのクラウド ML サーバーの 1 つでした。9 つ以上のクラウド ベースのリアルタイム ML 分類器によって、そのファイルがマルウェアであると適切に識別されました。シグナルを受けたクラウド保護サービスは、Trojan:Win32/Fuerboos.C!cl (英語情報) Trojan:Win32/Fuery.A!cl (英語情報) という 2 つの ML ベースの脅威の情報に基づいて、Windows Defender AV クライアントに攻撃をブロックするように指示しました。

この自動プロセスにより、お客様をリアルタイムで Emotet の感染から保護することに成功しました。しかし、Windows Defender AV の人工知能の能力はこれだけにとどまりません。

ファイルの内容全体のディープ ラーニング

Windows Defender AV のサンプル自動送信機能は、最初の攻撃から 1 分以内に、マルウェア ファイルのコピーをマイクロソフトのバックエンド システムに送信しました。ディープ ラーニング ML モデルでファイルの内容とデトネーション中の挙動に基づいてファイルを瞬時に分析した結果、ディープ ニューラル ネットワーク モデルによって、このファイルがバンキング型トロイの木馬のファミリ、Trojan:Win32/Emotet の亜種であると識別されました。

ML 分類器によってこの初見のマルウェアを確実にブロックしただけでなく、ディープ ラーニング モデルによって脅威を適切なマルウェア ファミリに関連付けることができました。攻撃を回避できたお客様は、この情報からもしマルウェアに感染していた場合にはどのような影響があったかを確認することができます。

さらに、ディープ ラーニング モデルはさらなる保護層の役割も果たします。比較的まれなケースですが、リアルタイムの分類器がファイルに関する最終的な判定を下すことができない場合でも、数分あればディープ ラーニング モデルで判定することが可能です。たとえば、Bad Rabbit というランサムウェアが拡散したときには、最初の攻撃からわずか 14 分後に Windows Defender AV がお客様を保護しました (英語情報)

最新型の脅威に対するインテリジェントなリアルタイム保護機能

機械学習と AI Windows Defender AV (英語情報) の最先端のリアルタイム保護機能に欠かせないテクノロジです。これらテクノロジは、Microsoft Intelligent Security Graph の脅威ランドスケープに対する比類ない知見と世界トップ クラスの Windows Defender エキスパートや研究者の力によりマイクロソフトのセキュリティ製品を迅速に進化させ、あらゆる種類の攻撃シナリオからの幅広い防御を実現します。

Windows Defender AV では、クラウド提供の保護 (英語情報) が既定で有効になっています。実行されていることを確認するには、Windows [設定][更新とセキュリティ][Windows Defender] の順に選択します。[Windows Defender セキュリティ センターを開きます] をクリックし、[ウイルスと脅威の防止][ウイルスと脅威の防止の設定] の順に選択し、[クラウド提供の保護] [サンプルの自動送信] の両方がオンになっていることを確認します。

エンタープライズ環境では、グループ ポリシー、System Center Configuration ManagerPowerShell コマンドレット、Windows Management Instruction (WMI)Microsoft IntuneWindows Defender Security Center アプリを使用して、Windows Defender AV のクラウド保護サービスを管理 (英語情報) することができます。

Windows Defender Advanced Threat Protection (Windows Defender ATP) には Windows Defender AVWindows Defender Exploit GuardWindows Defender Application Guard の保護機能が統合されており、シームレスなセキュリティ管理エクスペリエンスを提供します。

Windows Defender ATP により組織が高度な攻撃を検出、調査、対応する仕組みを検証するには、無償の試用版をお試しください

Windows Defender AV のインテリジェントなリアルタイム防御策は、幅広い脅威からの保護を可能にする Windows 10 の次世代セキュリティ テクノロジです。注目すべきは、Windows 10 S がこのようなマルウェア攻撃の影響を受けないという点です。Windows 10 S は、Microsoft ストアで提供されるアプリのみを実行するため、Emotet などの脅威が実行されることがありません。Windows 10 S の詳細については、こちらのページをご確認ください。Windows 10 で利用可能なすべてのセキュリティ テクノロジは、こちらのブログ記事をご覧ください。

 

Geoff McDonald (Windows Defender Research)
協力: Randy TreitAllan Sepillo

JVN: PhishWall クライアント Internet Explorer版のインストーラにおける DLL 読み込みに関する脆弱性

PhishWall クライアント Internet Explorer版のインストーラには、DLL 読み込みに関する脆弱性が存在します。<br /> <br /> なお、本脆弱性は <a href="https://jvn.jp/jp/JVN93699304/index.html">JVN#93699304</a> とは異なる問題です。続きを読む

CoderCruise 2018 – The Bahamas!

The team behind the original php[cruise] is once again bringing a conference to the open seas. CoderCruise 2018 is be a premiere conference experience, giving you have an exclusive connection to your fellow community members. It is setting sail from Ft. Lauderdale on August 30th for an extended weekend 5-day cruise that also visits Half Moon Cay and Nassau!

This year we've managed to negotiate a much cheaper overall rate for our participants, starting as low as $410 per person (including the 5-day cruise, food, drink, the conference, and all taxes and fees wrapped into one package!)

We have a really exciting schedule of talks that we've chosen this year from a fantastic selection of speakers. This is a family-friendly experience where we expect many attendees to bring their families, and we include the families in all of the activities that we have planned. We look forward to you joining us at CoderCruise 2018 this year! See you in the Bahamas!

JVN: Microsoft Outlook の OLE コンテンツ取得における問題

Microsoft Outlook はリッチテキスト形式 (RTF) のメールを表示する際、リモート・ホスト上の OLE コンテンツをユーザによる操作を介さずに取得してしまいます。その結果、攻撃者によりユーザのパスワードのハッシュ値を含む個人情報が窃取される可能性があります。続きを読む

2018 年 4 月のセキュリティ更新プログラム (月例)

2018 年 4 月 11 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • ChakraCore
  • Adobe Flash Player
  • Microsoft Malware Protection Engine
  • Microsoft Visual Studio
  • Microsoft Azure IoT SDK

: Microsoft Malware Protection Engine の脆弱性 CVE-2018-0986 の更新プログラムは、4 月 3 (米国時間) に定例外で公開されました。

新規セキュリティ更新プログラムを公開すると共に、新規のセキュリティ アドバイザリ 1 件の公開、既存のセキュリティ アドバイザリ 1 件の更新、既存の脆弱性情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに Trojan:Win32/Modimer に対する定義ファイルが追加されています。

 

なお、今月の Windows 用のセキュリティ更新プログラムで以下の問題が解決されています。

  • Windows 7 / Windows Server 2008 R2 向けの 3 月のセキュリティ更新プログラムを適用後に、ネットワークに接続できなくなる問題は、3 30 (米国時間) 公開の更新プログラム 4099950 にて修正し、この修正は今月の Windows 7 / Windows Server 2008 R2 の月例のロールアップ 4093118 (※) に含まれています。今月のセキュリティのみの更新プログラム 4093108 は pci.sys を含まないため、この問題は発生しません。
    ※ 2018/4/12 現在、Windows Update または WSUS 経由で本セキュリティ更新プログラムを適用した場合に同問題が解決されていないことが確認されています。最新の情報はサポート技術情報 4093118 の既知の問題を参照してください。 2018/4/13 更新: 本問題を修正したセキュリティ更新プログラムが再リリースされました。WSUS をご利用の方は最新版のセキュリティ更新プログラムを入手するために再同期を行ってください。
  • Windows 7 / Windows Server 2008 R2 向けの 3 月のセキュリティ更新プログラムを適用後、ログオフ時にエラーコード 0xAB が発生する問題は、3 29 (米国時間) 公開の更新プログラム 4099467 にて修正しています。
  • 3 月 29 (米国時間) に、新規の脆弱性情報 CVE-2018-1038 を公開し、Windows 7 x64 / Windows Server 2008 R2 x64 向けのセキュリティ更新プログラム 4100480 をリリースしました。この修正は今月の Windows 7 / Windows Server 2008 R2 のセキュリティ更新プログラム (ロールアップ 4093118、セキュリティのみ 4093108 の両方) に含まれています。

 

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。

■ セキュリティ更新プログラム・セキュリティ アドバイザリに関する主な注意点

  • アドバイザリ ADV180002 を更新し、AMD 向けの Spectre variant 2 (CVE-2017-5715) の緩和策に関する FAQ の追加および更新プログラムの公開をお知らせしました。詳細はアドバイザリをご参照ください。

■ 既存の脆弱性情報の更新 (1 )

下記の脆弱性情報のセキュリティ更新プログラムの一部が再リリースされています。再リリースされたセキュリティ更新プログラムは既に適用済みのコンピューターにも再インストールする必要があります。詳細は下記脆弱性情報を参照してください。

  • CVE-2016-0143
    Windows 10 1709 向けにセキュリティ更新プログラム 4093112 をリリースしました。この脆弱性から完全に保護するために、該当の更新プログラムをインストールすることをお勧めします。

 

■ 2018 年 4 月のセキュリティ更新プログラム

セキュリティの脆弱性および更新プログラムの情報を、CVEKB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。

セキュリティ更新プログラム ガイド

各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。

 

マイクロソフトは新たに確認した脆弱性について、下記の新しいセキュリティ更新プログラムを公開しました。

製品ファミリ 最大深刻度 最も大きな影響 関連するサポート技術情報またはサポートの Web ページ
Windows 10 および Windows Server 2016 (Microsoft Edge を含む) 緊急 リモートでコードが実行される Windows 10 v1709: 4093112、Windows 10 v1703: 4093107、Windows 10 v1607: 4093119、Windows 10: 4093111、Windows Server 2016: 4093119
Windows 8.1 および Windows Server 2012 R2 緊急 リモートでコードが実行される Windows 8.1 および Windows Server 2012 R2 マンスリー ロールアップ: 4093114

Windows 8.1 および Windows Server 2012 R2 セキュリティのみ: 4093115

Windows Server 2012 緊急 リモートでコードが実行される Windows Server 2012 マンスリー ロールアップ: 4093123

Windows Server 2012 セキュリティのみ: 4093122

Windows RT 8.1 緊急 リモートでコードが実行される Windows RT 8.1: 4093114

注: Windows RT 8.1 の更新プログラムは Windows Update からのみ入手できます。

Windows 7 および Windows Server 2008 R2 緊急 リモートでコードが実行される Windows 7 および Windows Server 2008 R2 マンスリー ロールアップ: 4093118

Windows 7 および Windows Server 2008 R2 セキュリティのみ: 4093108

Windows Server 2008 緊急 リモートでコードが実行される Windows Server 2008 の更新プログラムは累計的な更新プログラムやロールアップとして提供されません。次の記事は Windows Server 2008 のバージョンを参照しています。409322340932244093227409175640932574093478
Internet Explorer 緊急 リモートでコードが実行される Internet Explorer 9 IE 累積的: 4092946、Internet Explorer 10 マンスリー ロールアップ: 4093123; Internet Explorer 10 IE 累積的: 4092946; Internet Explorer 11 マンスリー ロールアップ: 4093118 および 4093114、Internet Explorer 11 IE 累積的: 4092946、Internet Explorer 11 セキュリティ更新プログラム: 409310740931094093111409311240931194100375
Microsoft Office 関連のソフトウェア 重要 リモートでコードが実行される マンスリー セキュリティ更新プログラムのリリースの Microsoft Office に関連するサポート技術情報の記事の数は、CVE の数、および影響を受けるコンポーネントの数によって変わります。今月リリースされる Office の更新プログラムに関連するサポート技術情報は 20 件を超えます。概要をお知らせする目的から、ここでは一部のみを掲載します。資料の詳細については、「セキュリティ更新プログラム ガイド」を参照してください。
Microsoft SharePoint Server および SharePoint Enterprise Server 重要 リモートでコードが実行される Microsoft SharePoint Server: 4011586401171240183364018342
Microsoft Visual Studio 重要 情報漏えい Microsoft Visual Studio 2015: 4087371Microsoft Visual Studio 2013: 4089283Microsoft Visual Studio 2012: 4089501Microsoft Visual Studio 2010: 4091346Microsoft Visual Studio 2017: リリース ノート
ChakraCore 緊急 リモートでコードが実行される ChakraCore は Chakra のコア部分であり、HTML/CSS/JS で記述された Microsoft Edge Windows アプリケーションを強化する高パフォーマンスの JavaScript エンジンです。詳細については、https://github.com/Microsoft/Cha​kraCore/wiki を参照してください。
Adobe Flash Player 緊急 リモートでコードが実行される Adobe Flash Player のサポート技術情報: 4093110

Adobe Flash Player のアドバイザリ: ADV180007

DLL の植え付けの脆弱性のトリアージ

本記事は、Security Research & Defense のブログTriaging a DLL planting vulnerability” (2018 4 4 日 米国時間公開) を翻訳したものです


ダイナミックリンク ライブラリ (DLL) の植え付け (バイナリの植え付け/ハイジャック/プリロード) の問題は数年に 1 度表面化する傾向があり、マイクロソフトがそのような報告にどう対応するかが明確でない場合があります。このブログでは、DLL の植え付けの問題をトリアージする際に検討される項目を明確にします。

アプリケーションが完全修飾パス名を指定せず、DLL を動的に読み込む場合、Dynamic-Link Library Search Order (英語情報) で説明されているように、Windows は特定の順番で適切に定義されたディレクトリ セットを探して、DLL の場所を特定しようとします。既定の SafeDllSearchMode で使用される検索順序は以下のとおりです:

  1. アプリケーションが読み込まれた場所のディレクトリ
  2. システム ディレクトリ。GetSystemDirectory 関数を使用しこのディレクトリのパスを取得します。
  3. 16 ビットのシステム ディレクトリ。このディレクトリのパスを取得する関数はありませんが、検索されます。
  4. Windows ディレクトリ。GetSystemDirectory 関数を使用しこのディレクトリのパスを取得します。
  5. 現在の作業ディレクトリ
  6. PATH 環境変数の一覧にあるディレクトリ。ただし、App Paths レジストリ キーにより指定されたアプリケーションごとのパスは含まれません。App Paths キーは DLL 検索パスを実行時には使用されません。

既定の DLL の検索順序は、以前のブログの 1 つ “Load Library Safely” でも記載しているように、さまざまなオプションにより変更できます。

アプリケーションにおける DLL の読み込みは、攻撃者が悪意のある DLL を、検索順序に基づき検索されるいずれかのディレクトリに植え付けることができ、植え付けられた DLL が攻撃者がアクセス権を持たない上位検索ディレクトリに見つからない場合、DLL の植え付けの脆弱性になります。たとえば、foo.dll を読み込むアプリケーションがあり、foo.dll がアプリケーション ディレクトリ、システム ディレクトリ、もしくは Windows ディレクトリに存在しない場合、攻撃者は現在の作業ディレクトリにアクセスできれば foo.dll を植え付けることができることになります。DLL の植え付けの脆弱性は攻撃者にとって便利でかつ作業量も少なく済み、DLL の読み込み時に DllMain() が直ちに呼ばれるためにコードの実行は非常に容易です。攻撃者は、アプリケーションが署名されていないバイナリを読み込むことを許可している場合、緩和策をバイパスすることに頭を悩ませる必要はありません。

悪意のある DLL が DLL 検索順序のどこに植え付けられるかによって、脆弱性は大きく以下の 3 つのカテゴリのいずれかに属します。

  1. アプリケーション ディレクトリにおける DLL の植え付け
  2. 現在の作業ディレクトリ (CWD) における DLL の植え付け
  3. PATH ディレクトリにおける DLL における植え付け

上記のカテゴリにより私たちの対応が決まります。では私たちが各カテゴリをどのようにトリアージするか、これらカテゴリを見ていきましょう。

アプリケーション ディレクトリにおける DLL の植え付け

アプリケーション ディレクトリは、アプリケーションが、依存する非システム系 DLL を保持し、それらを信頼のおけるものとして扱う場所です。プログラムのインストール ディレクトリに配置されたファイルは、悪意がなく信頼できると推定され、一般的にディレクトリの ACL によるセキュリティ制御はそれを保護するために使用されます。インストール ディレクトリのバイナリを置き換えることができるユーザーは、ファイルを書き込んだり上書きしたりする権限を持っていると推定されます。アプリケーション ディレクトリはコードのディレクトリと考えられ、そのアプリケーションのコードに関連するファイルが保存されています。そのディレクトリへのアクセス権がない攻撃者がアプリケーション ディレクトリで DLL の上書きを実行できる場合、それは単に 1 つの DLL を置き換える/植え付けるということと比べはるかに大きな問題です。

アプリケーション ディレクトリにおける DLL の植え付けに関するいくつかのシナリオを見てみましょう。

シナリオ 1: 信頼されたアプリケーション ディレクトリにおける悪意のあるバイナリの植え付け

適切にインストールされたアプリケーションでは、通常アプリケーション ディレクトリは ACL で保護されており、このシナリオにおいては、アプリケーション ディレクトリのコンテンツを変更するには昇格された権限 (通常管理者権限) が求められます。たとえば、Microsoft Word のインストール先は C:\Program Files (x86)\Microsoft Office\root\Office16 です。このディレクトリに変更を加えるには管理者権限が必要です。管理者権限を持つ被害者は、信頼できる場所に DLL を配置するよう誘導されたり、ソーシャル エンジニアリングの手法で騙されたりする可能性がありますが、そのような状況の場合、さらに悪事を働くよう誘導・騙されることも考えられます。

シナリオ 2: 信頼されないアプリケーション ディレクトリにおける悪意のあるバイナリの植え付け

XCOPY などインストーラーを使用しないでインストールされるアプリケーション、共有フォルダーに置かれたアプリケーション、インターネットからダウンロードされたアプリケーション、または ACL で制御されていないディレクトリにあるスタンドアローンの実行ファイルなどは、信頼できないカテゴリに該当するいくつかのシナリオです。たとえば、インターネットからダウンロードされ既定の “ダウンロード” フォルダーで実行されるインストーラー (再配布可能パッケージ、ClickOnce により生成された setup.exe、IExpress により生成された自己解凍アーカイブなどを含む) が該当します。信頼できない場所からアプリケーションを起動するのは危険であり、被害者は容易にこれらの信頼できない場所に DLL を植え付けるよう誘導されたり騙されたりします。

 

アプリケーション ディレクトリにおける DLL の植え付けのカテゴリに該当する DLL の植え付けの問題は、多層防御の問題として扱われ、更新プログラムは将来のバージョンについてのみ検討されます。私たちは、この攻撃に必要とされるソーシャル エンジニアリングの量およびこの問題が本質的には仕様に基づく動作である点から、MSRC で受けたこのカテゴリに属する報告を vNext (次期製品バージョン) で検討する問題として扱います。被害者は悪意のある DLL (マルウェア) をそれが起動されうる場所に保存するよう誘導され、かつ望ましくない操作 (たとえば、マルウェアと同じディレクトリ内でインストーラーを実行する) を実行する必要があります。インストールされていないアプリケーションには、自身がディレクトリを作成しない限り、"信頼できる安全なディレクトリ / バイナリ" の参照点がありません。理想的には、インストーラーが (それ以上の DLL の植え付けを防止するために) ランダム化された名前を持つ一時ディレクトリを作成し、そこにバイナリを展開してアプリケーションをインストールするべきです。攻撃者が被害者のシステム (たとえば “ダウンロード” フォルダー) にマルウェアを配置する際に、ドライブバイ ダウンロードを利用する可能性はありますが、その攻撃の本質はソーシャル エンジニアリングです。

Windows 10 Creators Update では、アプリケーション ディレクトリにおける DLL の植え付けの脆弱性を緩和するために使用可能な新たなプロセス軽減策を追加しました。この PreferSystem32 という新たなプロセス軽減策は、適用されると、DLL 検索順序におけるアプリケーション ディレクトリと system32 の順序を切り換えます。これにより、アプリケーション ディレクトリに植え付けられたいかなる悪意のあるシステム バイナリもハイジャックされません。これは、プロセスの生成が制御できるシナリオにおいて有効にできます。

現在の作業ディレクトリ (CWD) における DLL の植え付け

一般的にアプリケーションが呼び起こされる元となるディレクトリをアプリケーションは CWD と位置付けます。これは、アプリケーションが既定のファイル関連付けに基づいて起動された場合にも当てはまります。たとえば、“D:\temp\file.abc”’ という共有フォルダーからファイルをクリックすることで、“D:\temp” が .abc というファイル形式に関連付けされたアプリケーションの CWD としてセットされます。

特に WebDAV 共有など、リモートの共有フォルダーでファイルをホストするシナリオは、CWD における DLL の植え付けの問題をより脆弱にします。このようにして攻撃者は悪意のある DLL をファイルと共に保存し、ソーシャル エンジニアリングにより被害者にファイルを開かせ/クリックさせ、悪意のある DLL がターゲットとするアプリケーションにより読み込まれるように仕向けます。

シナリオ 3: CWD における悪意のあるバイナリの植え付け

最初の 3 つの信頼できる場所から DLL を読み込むことができない場合、アプリケーションは、信頼できない CWD からその DLL を探します。被害者が \\server1\share2\ という場所から .doc ファイルを開こうとすると Microsoft Word が起動しますが、Microsoft Word が、依存する DLL の 1 つ oart.dll を信頼できる場所から見つけることができない場合、Word は CWD である \\server1\share2\ からそのファイルを読み込もうとします。その共有フォルダーは信頼できない場所であり、攻撃者は容易にアプリケーション oart.dll を植え付けることができます。

トリガー => \\server1\share2\openme.doc
アプリケーション => C:\Program Files (x86)\Microsoft Office\root\Office16\Winword.exe
アプリケーション ディレクトリ => C:\Program Files (x86)\Microsoft Office\root\Office16\
CWD => \\server1\share2\
悪意のある DLL  => \\server1\share2\OART.DLL

CWD における DLL の植え付けのカテゴリに該当する DLL の植え付けの問題は、緊急度が重要な問題として扱われ、Microsoft はこの問題に対してセキュリティ更新プログラムを公開します。過去に私たちが修正した DLL の植え付けの問題のほとんどはこのカテゴリに該当し、セキュリティ アドバイザリ 2269637 でそのサブセットが確認できます。ここで、アプリケーション ディレクトリやシステム ディレクトリ、もしくは Windows ディレクトリに存在しない DLL をなぜマイクロソフトのアプリケーションが読み込むのかと疑問に思われるかもしれません。それが起きるのは、さまざまなオプション コンポーネント、異なる OS エディション、そして複数のアーキテクチャが異なるバイナリ セットを付帯しているためで、時としてアプリケーションが DLL を読み込む前に効果的に検討/検証できないことがあるのです。

PATH ディレクトリにおける DLL の植え付け

DLL 検索順序で DLL を探す最後の場所は PATH ディレクトリです。PATH ディレクトリは、アプリケーションや関連ファイルを探す際のユーザー エクスペリエンスを向上するためにさまざまなアプリケーションにより追加されたディレクトリのセットです。

PATH 環境変数にあるディレクトリは、常に管理者権限により制御されており、一般ユーザー権限ではこれらディレクトリのコンテンツを変更できません。もしだれでも書き込みができるディレクトリが PATH によりさらされていたら、DLL 読み込みという単なる 1つのインスタンスではなく大きな問題であり、私たちは緊急度重要の問題として扱います。しかし、DLL の植え付けの問題だけであれば、この植え付けの脆弱性でセキュリティの境界を越えることは想定されないため、低度のセキュリティの問題とみなします。よって、PATH ディレクトリにおける DLL の植え付けに該当する DLL の植え付けの問題は修正予定なしとして対応されます。

結論

上記の説明により、報告された DLL の植え付けの問題を私たちがどのようにトリアージし、どのような状況をセキュリティ更新プログラムを公開するほどの重要性があると判断するかについての疑問が解消されると期待しています。以下に、セキュリティ リリース (ダウン レベル修正) を通じて修正するもの、しないものに関する簡単なガイドを示します。

マイクロソフトがセキュリティ修正として対処するもの

CWD のシナリオ – 関連付けられたアプリケーションが信頼できない CWD から DLL を読み込んでしまうもの

マイクロソフトが次に製品がリリースされるタイミングで対処することを検討するもの

アプリケーション ディレクトリのシナリオ – 明示的な読み込みか暗黙的な読み込みかに基づく製品開発グループの判断に依存します。明示的な読み込みでは手を加えられますが、暗黙的な読み込み (依存した DLL) はパスを制御できないため完全に仕様となります。

マイクロソフトが対処しないもの (脆弱性ではないもの)

PATH ディレクトリのシナリオ – PATH では管理者権限を必要としないディレクトリはないため、悪用はできません。

 

-----

Antonio Galvan, MSRC

Swamy Shivaganga Nagaraju, MSRC Vulnerabilities and Mitigations Team

PHP Developer Days 2018 • Dresden, Germany

The 4th annual PHP community event – September 21st & 22nd in Dresden, Germany

The PHP USERGROUP DRESDEN e.V. is proud to host an international 2-day event with workshops, a single track conference and awesome side events.

We are commited to creating a unique community experience - an event where everyone is among #PHPriends.

Our Call for Papers ends on April 30th, 2018.

PHPConf.Asia 2018 – Call for Speakers

Announcing PHPConf.Asia 2018 - The Pan-Asian PHP Conference - CFP Opens Now

The third pan-Asian PHP conference will take place between 26th to 29th September 2018 in Singapore - the Garden City of the East! This is a single track, 2 days Conference (27th to 28th September 2018). Followed by 1 day of Tutorials on 29th September 2018.

Come and meet with the fastest growing PHP communities in Asia. More than 300 attendees are expected in this single track conference.

CFP Opens Now!. Hop over to https://2018.phpconf.asia for more details.