2006年1月の備忘録
Jan.1,2006 (Sun)
■2 Windows WMF 0-day exploit in the wild のこと [PC]
_ セキュリティーホールmemoさんで取り上げられてますが、水野さんからの情報として
NOD32 の場合、AMON (これは、いわゆるリアルタイムのチェックを行なうモジュールです)のチェック対象に既定では WMF ファイルは含まれないようです。
つまり、NOD32 の場合、ウィルス定義ファイル1.1342 (20051228) でトロイとして検知されるようにはなったものの、これだけでは不十分かもしれないかもしれないと思っています。
今回の脆弱性の嫌らしいところは
「exploit コードの含まれる WMF ファイルをローカルに保存した状態で、
そのフォルダの内容を explorer で見ただけで exploit が発動しうる
模様だ」
という点です。(という個人的な印象を持ちました)。この点については、公開されている 2 つの実証ファイル wmf_exp.wmf と runcalc.wmf で現象を確認しました。発現条件的には、explorer の設定−−特にフォルダ表示設定−−にも依存しそうです。手元の環境では「縮小版」と「並べて表示」の状態ではフォルダの内容を表示しただけで発現するようだという感触を持ちました。(設定が「アイコン」、「一覧」、「詳細」の場合には、とりあえずフォルダを開いただけでは exploit の発動は起きないような感じでした)。
長々と書いてしまいましたが、NOD32 の利用者さんの場合には「NOD32 2.5コントロールセンター」→「モジュール > AMON(常駐保護)」→「設定」の「検出」タブから「検査対象の拡張子リスト > 拡張子」→「追加」と進んでWMF を追加し、AMON によるリアルタイム検査(常駐保護)の対象に含めるようにしておくことが必要ではないかという感じを持ちました。
_ と書いてあります。
_ NOD32の場合、デフォルトでは「すべてのファイルを検査」にチェックが入ってて、「次の拡張子のファイル以外のすべてのファイルを検査」となっている場合もあるようです(ウチの場合はそうなってました)。
_ なので、この説明だけでは勘違いして.wmfファイルだけ検査から除外されてしまう可能性もあるわけで、「すべてのファイルを検査」にチェックに入っているか確認するだけでいいような気がします。
