アカウント名:
パスワード:
Ormandy said the security hole can easily be closed by turning off the MSDOS and WOWEXEC subsystems. The changes generally don't interfere with most tasks since they disable rarely-used 16-bit applications.
この記述のとおりだとすると、16-bit モードで動作するアプリケーションを通じて、MSDOS と WOWEXEC サブシステムの機能経由で攻撃を仕掛ける、というのが仕組みのはずだ。確かに 32bit OSを攻撃するためのコードと 64bit OSを攻撃するためのコードは違うかもしれないけれど、同じ理屈で 64bit OSでも攻撃出来るんじゃないか?! という気がするが…
その辺どうなんでしょうね?
・MSDOS/WOWEXECサブシステムを無効にして16-bitアプリを実行できなくすれば攻撃を防げる。・64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。あとは3段論法を適用するだけの簡単なお仕事です。
加えてWOW64では32-bitと64-bitではdllを相互に呼んだり単一プロセス内に共存したりができず、プロセス間通信でしか繋がれない、と。
公開APIによる手段は提供されていませんが、不可能なわけではありません。たとえばWOW64プロセスには64-bitと32-bitのntdllが両方マップされています。もちろんMicrosoftの保証はありませんが、攻撃者にとってはどうでもいいことです。犯罪者が法律を守るとは限らないのです。今回の攻撃で使われているNtVdmControlも、本来まともなアプリケーションから直接呼び出すようなものではありません。したがって、攻撃の可能性を検討するような文脈では32-bitと64-bitの混在ができないということをあてにしてはいけません。
おおぅ。なるほど。そりゃ影響受けないわ。ガッテン!
XP mode @Win7は?
ふつう脆弱性があるゲストを実行可能であることはホストの脆弱性に含めないと思いますが。XPモードではデフォルト有効な共有フォルダなどを通して、ゲストを実行しているユーザーの権限が及ぶ範囲で何かされるかもしれませんが、この脆弱性はリモートから攻撃できないので、そんな回りくどいことをしなくてもユーザーの権限が及ぶ範囲で可能なことはすべてされるかもしれない前提です。ゲストを攻略してもホストの管理者権限は奪取できません。管理者でログインしてWindows Virtual PCを実行していれば可能ですが、その場合すでに管理者権限を奪取されているわけです。
ちなみになのですが、お使いのリーダは何でしょうか?大変だなと思うのですが、後学のためよければ...
# SonyのPaSoRiは64bitドライバがあるように思うので...# というか自宅Win7 64bitはそれで動いている、ハズ
そんなホイホイアプリがインストールできる環境 or ホイホイインストールするバカが操作している環境でXPModeが使えるPro以上のエディションが入っていることは少ないのではないでしょうか?
本家記事から元ネタを辿っていっても64bit Windowsについては何も述べられていませんね。64bit Windows用の攻撃方法は現在確認中なのかも知れません。
本家/.orgのコメントの方でも同様の疑問を持たれている方 [slashdot.org]はいるようですが、現時点ではまだ分らないっぽいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1)
この記述のとおりだとすると、16-bit モードで動作するアプリケーションを通じて、MSDOS と WOWEXEC サブシステムの機能経由で攻撃を仕掛ける、というのが仕組みのはずだ。
確かに 32bit OSを攻撃するためのコードと 64bit OSを攻撃するためのコードは違うかもしれないけれど、同じ理屈で 64bit OSでも攻撃出来るんじゃないか?! という気がするが…
その辺どうなんでしょうね?
fjの教祖様
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:5, 参考になる)
・MSDOS/WOWEXECサブシステムを無効にして16-bitアプリを実行できなくすれば攻撃を防げる。
・64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。
あとは3段論法を適用するだけの簡単なお仕事です。
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:2)
加えてWOW64では32-bitと64-bitではdllを相互に呼んだり単一プロセス内に共存したりができず、プロセス間通信でしか繋がれない、と。
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:3, 参考になる)
公開APIによる手段は提供されていませんが、不可能なわけではありません。たとえばWOW64プロセスには64-bitと32-bitのntdllが両方マップされています。
もちろんMicrosoftの保証はありませんが、攻撃者にとってはどうでもいいことです。犯罪者が法律を守るとは限らないのです。今回の攻撃で使われているNtVdmControlも、本来まともなアプリケーションから直接呼び出すようなものではありません。
したがって、攻撃の可能性を検討するような文脈では32-bitと64-bitの混在ができないということをあてにしてはいけません。
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1)
おおぅ。なるほど。そりゃ影響受けないわ。
ガッテン!
fjの教祖様
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1, 興味深い)
・MSDOS/WOWEXECサブシステムを無効にして16-bitアプリを実行できなくすれば攻撃を防げる。
・64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。
あとは3段論法を適用するだけの簡単なお仕事です。
XP mode @Win7は?
Re: (スコア:0)
ふつう脆弱性があるゲストを実行可能であることはホストの脆弱性に含めないと思いますが。
XPモードではデフォルト有効な共有フォルダなどを通して、ゲストを実行しているユーザーの権限が及ぶ範囲で何かされるかもしれませんが、この脆弱性はリモートから攻撃できないので、そんな回りくどいことをしなくてもユーザーの権限が及ぶ範囲で可能なことはすべてされるかもしれない前提です。
ゲストを攻略してもホストの管理者権限は奪取できません。管理者でログインしてWindows Virtual PCを実行していれば可能ですが、その場合すでに管理者権限を奪取されているわけです。
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1)
より特殊なネタですが、私の所有するEdyリーダは64ビット版のドライバが公開されていないため、Edyへの入金やらにだけXPモードを利用しようかと考えています。この場合、XPモード上の権限を握られると、Edy決済を横取りされる可能性が出てくるかも知れません。
攻撃ツールをXPモード上で実行させるのは、トロイの木馬に「64ビットWin7の場合はXPモードでお使いください」みたいな注釈とやり方の詳細を付けておけば事足ります。普通の木馬に釣られるのと同じぐらいにはXPモード上で釣られる人が出てくるでしょう。
# まあ、何にせよこんな回りくどい上にターゲットが少ない攻撃が実行される事はないでしょうけど。
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1, 荒らし)
ちなみになのですが、お使いのリーダは何でしょうか?
大変だなと思うのですが、後学のためよければ...
# SonyのPaSoRiは64bitドライバがあるように思うので...
# というか自宅Win7 64bitはそれで動いている、ハズ
M-FalconSky (暑いか寒い)
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:2, 参考になる)
Re: (スコア:0)
そんなホイホイアプリがインストールできる環境 or ホイホイインストールするバカが操作している環境で
XPModeが使えるPro以上のエディションが入っていることは少ないのではないでしょうか?
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1)
Re: (スコア:0)
Re:いまいち判らないのが、なぜ 64bit は影響を受けないのか、と言う点 (スコア:1)
本家記事から元ネタを辿っていっても64bit Windowsについては何も述べられていませんね。64bit Windows用の攻撃方法は現在確認中なのかも知れません。
本家/.orgのコメントの方でも同様の疑問を持たれている方 [slashdot.org]はいるようですが、現時点ではまだ分らないっぽいです。