MS15-034 – 緊急 / HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)

HTTP.sysでカーネルキャッシュが有効な場合、特別に細工されたHTTP要求を受信するとHTTPS.sysでリモートコードが実行できてしまう脆弱性があるようです。(システムアカウントなコンテキストで任意のコードが実行できてしまう)

HTTP.sysが対象なのでIIS7以降でクライアントOSも含むので注意が必要です。クライアントOSの場合、HTTP.sysを使うような人はだいたい開発者で通常localhostからしかリクエストを許可していないだろうと思いますが2段階で脆弱性を突くような攻撃を踏まないとも言い切れませんので、さっさとパッチを適用しましょう。

暫定的な回避策としてはカーネルキャッシュを無効にすればよいようです。
※攻撃の詳細よくわかってないのでパッチ適用するほうが望ましいかと。

Azureで言えばIaaSなVirtual Machinesは自己責任なのでさっさとパッチ適用しましょう。
Cloud Servicesの場合はパッチ適用されたGuest OSが出るまでの間、スタートアップタスクなどでパッチをあてるか一時的にIISのカーネルキャッシュを無効化する必要があります。
(2015.04.18 Update) 対策済みGuest OSでました。(Guest OS versions: 4.19, 3.26, 2.38 ) ドキュメントはもうすぐ更新されるみたいです → Azure Guest OS Releases and SDK Compatibility Matrix 

Web Apps(Websites)の場合、IISマネージャーでサイトに接続してカーネルキャッシュをオフにする手段がとれそうです。(抜本対策されるまでの間)

Web Apps (Websites)はすでに対策済みだそうです。さすが安心と信頼のWeb Apps!みんなWeb Apps使おう

Windows Azure のセキュリティとプライバシー

プライバシーについて

2012年5月にWindows Azureのプライバシーに関する声明が更新されました。

あくまでマイクロソフトと、顧客である我々(Windows Azureの契約者)との話であることに注意が必要です。冒頭にもある通りWindows Azureを使用して提供しているアプリケーション等が扱うデータ等のプライバシーポリシーはマイクロソフトではなくそのサービス、アプリケーションのベンダーが責任を負います。

マイクロソフトはWindows Azure上に保存・アップロードされるデータはサービスを提供する目的でのみ使用される(使用というとあれですがGeoレプリケーションしありとかそういう使用かな)とのこと。ただ文中にもありますがGeoレプリケーションなど暗黙的に保存されてるデータの場所が国をまたがる場合があるのでそのあたりも気を付けましょう。なおプレビュー版(CTPやベータなど)は若干ポリシーが異なります。

セキュリティについて

こちらにまとまってます。

また、各クラウドのセキュリティアセスメントを登録し、だれでも参照できるCSA (Cloud Security Alliance)といったサイトがあるのですが、こちらのSTAR (Security Trust and Assurance Registry)にWindows Azure(とOffice 365、Dynamics CRM)が登録されています

このサイトからおなじみのWindows Azureのセキュリティに関する状況を参照・確認(ダウンロード)することができますので便利ですね。また今後登録されるクラウドコンピューティング提供者が増えると比較したりする際の情報取りまとめサイトとして成長されることが期待されます。

※但しこのCSA自体は第三者機関による認証等はないので、登録される情報はあくまで各クラウドベンダーの自己申告です。とはいえ少し探しにくいこの手の情報にまとめてアクセスできるのはいいですね。

法律関連

よく導入検討時などに言われる米国愛国者法(いわゆるパトリオット法)などの懸念や誤解については以下のサイトがよくまとまっています。

心配な方はよく読んでくださいね。

また特に大事なところとしては準拠法と管轄裁判所ですね。

準拠法と管轄裁判所は日本

グローバルに展開するクラウドの場合、準拠法や管轄裁判所が米国などの海外になっている場合があります。マイクロソフトのOffice 365の場合は、準拠法は日本法、管轄裁判所は基本的に東京地方裁判所となっています。

※上記サイトより引用

Windows Azureなど契約する際に利用するMicrosoft Online Services Customer Portal のオンラインサブスクリプション契約の条件には以下の通り記載があります。

10. 雑則
  1. 準拠法   本契約は日本の法律を準拠法とします。1980 年国際物品売買契約に関する国連条約およびその付属文書は、本契約には適用されません。本製品は、著作権およびその他の知的財産権関連法ならびに国際条約により保護されています。

  2. 紛争の解決   本契約の強制履行を求めて提訴する場合は、東京地方裁判所に提起しなければなりません。上記にかかわらず、いずれの当事者も、知的財産権の侵害または秘密保持義務の違反に関する差止請求を行う場合には、任意の管轄裁判所において行えるものとします。

オンライン サブスクリプション契約 ご契約条件 より引用

というわけでマイクロソフトのオンラインサービス関連はかなり日本ユーザーにやさしい柔軟な対応をしてもらえるようです。

 

余談

各ページ、シンプルで集約されつつあってわかりやすくなりましたね。後はもろもろ足らない部分の日本語化、Windows AzureだけじゃなくGFSやMIcrosoft Online Services全般の情報もどこからか集約して見れるとうれしいな。というか必要だと思います。

Microsoft Endpoint Protection for Windows Azure CTP

Windows Azureのセキュリティが心配で心配で夜も眠れない人に朗報。 クライアントPC等で企業向けに提供されているMicrosoft Endpoint Protection(以下MEP)がWindows Azureでも利用できるようになりました。(※2012年3月19日現在ではCTP)

続きを読む

定例外のセキュリティアップデート MS11-100

12月30日に公開されたマイクロソフト セキュリティ アドバイザリ (2659883) 「ASP.NET の脆弱性により、サービス拒否が起こる」 の件ですが定例外としてMS11-100のセキュリティアップデートが公開されました。

2659883の脆弱性に加えて合計4件の脆弱性も解決されてるようです。

  • ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性 CVE-2011-3414
  • .NET フォームの認証の安全ではないリダイレクトの脆弱性 CVE-2011-3415
  • ASP.NETフォームの認証バイパスの脆弱性 CVE-2011-3416
  • ASP.NET フォームの認証のチケットをキャッシュする脆弱性 CVE-2011-3417

対象は.NET Framework 1.1 / 2.0 / 3.5 / 3.5.1 / 4 なのでかなり広範囲ですね。注意しましょう。

参照 → セキュリティホールmemo

さて Windows Azureではどうすればいいのかというと、サービス設定ファイルでOSのバージョン指定を*指定つまり自動アップグレードを選択している場合はどこかのタイミングで(たぶんすでに実施されちゃってると思われますが)MS11-100が適用されたバージョンになります。

※リビジョン(?)が03になっています
※2012/01/02 1.16が1.8になってたので修正(指摘ありがとうございます)

手動の場合はすぐにアップデートしましょうね。

参考 → Windows Azureのセキュリティ情報 MS11-100 への対応 ( S/N RATIO [BY SATO NAOKI] )

image

image

VMロールの場合は、OSのイメージ管理は利用者の自己責任なので、パッチを適用した差分か元イメージを再アップロードするなどで対応してください。

ちなみに、セキュリティホールmemoのEffective DoS attacks against Web Application Plattforms ? にあるようにPerlを除く代表的なWebプログラミング言語、フレームワークで発生するそうです。

なので、Windows Azure上でPHPを使ってる場合は上記パッチに加えて、Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸浩の日記)を参考にまずはPHP.iniを修正したりするのがよいかと思います。

※mod_security使えないので。

毎日興味惹かれる内容が多くてどうしよう

 

ADFSまわりちまちま見てる。なんか名称が違うなぁとか思ってたら、 Microsoft Service Connector って WAP AppFabric Access Control Services になったのかな???
なんにしろ頭に入りきらないので進捗悪し。

あと以前紹介した「クラウド セキュリティ & プライバシー――リスクとコンプライアンスに対する企業の視点」本が届いたのでこちらも見てる。時間ねぇ。

Azure 関連

WCF 関連

TFS

どんどん充実してきてますね。感謝です!
開発者側からの視点としてはビルドの自動化ができたら次はタスクの管理やらソース管理、管理者側からはパフォーマンス管理あたりなのかな?次が楽しみです。

Expression 関連

  • Expression Gallery via @naoki0311
    • Expression 3 もまだ全然さわってないのに4対応のムービーやら見れます。BlendのビヘイビアやEncoderのテンプレートなどなど。3からそのまま使えるものも多数。最近ムービー多くていいですね。検索は難しいけど、見逃さないようにしたい。

 

( ´Д`)=3 そろそろ寝よう。

Silverlight 4 Tools for VSでたよ 他いろいろ

 

Tech Ed 2010 NAのセッション動画等がもうダウンロードできるようになってますね。
@masayuki_ozawaさんがダウンロード用のスクリプトを纏めてくれてますのでゲットして見まくりたい。

Azure関連

Visual Studio 関連

  • Open Data Protocol Visualizer via @dahatake
    • SharePoint2010とVS2010 + OData Protocol Visualizerを組み合わせると凄いらしい。試してみたい。
    • でも単純にODataの内容を可視化できるので、すごい便利ですねこれ。
  • Visual Studio 2010の拡張ということで言えば 痛IDE拡張 も外せません。

Silverlight 関連

その他

また文字だらけリンクだらけになってしまいました。。