先日、ヘルプとサポートセンターの脆弱性の問題が大きく報じられましたが、
(→ Windows ヘルプとサポートセンターの脆弱性を利用した攻撃の回避方法
そちらの更新プログラムが出てようやく解決・・と思ったら、今度は別の脆弱性が発見されたそうです。

レジストリ IconHandler

今回の脆弱性は、ショートカットファイルを処理する際の未解決の問題に起因するもので、
攻撃者が細工を施したショートカットファイル(.lnk)をユーザーが開くと、
ユーザー権限で悪質なコードが実行される恐れがあるとの事。
※直接ウイルスのexeファイルを実行させなくても、
ショートカットのアイコンをクリックするだけで、フォルダ内のウイルスプログラムが実行される

既に攻撃は確認されているらしく、今後拡大する恐れもあると言われていますが、
現時点ではMicrosoftからパッチが公開される見通しは立っておらず、とりあえずの回避策が公開されています。

なおこの脆弱性は、既先日サポートが終了したWindows 2000や XP SP2も含む、
Windowsの全バージョンに影響があるそうで、2000や XP SP2 に関してはパッチは公開される予定はありません。

なお、マイクロソフトからは脆弱性の影響が低くなる可能性がある対策として・・

・自動実行のAutoRunを無効にする
・ユーザーアカウントの権限を制限する

等が紹介されています。
AutoRunは、リムーバルディスクに接続されたデバイスの内容を自動的に読み込む機能の事で、
無効にする事で、リムーバルディスクなどからマルウェアが自動実行される事を防ぎます。

また、今回の脆弱性が悪用された場合、攻撃者がユーザーと同じ権限を取得する可能性がありますが、
ユーザーアカウントの権限を制限する事により、管理者権限で実行するよりも影響が少なくなるとの事です。


そして今回、脆弱性の回避策として紹介されている対策は

・WebClientサービスを無効にする
・ショートカットの表示を無効にする

というもの。
WebClientサービスの無効化は、WebDAV からのリモート攻撃をブロックする回避策

そしてショートカットの表示を無効にする回避策は、ローカル・リモートどちらの攻撃にも有効で、
こちらを実施すれば上記のWebClientサービスを無効にする必要はないとの事。

しかし、これらの方法は現実的ではないと見ている専門家もいるようで・・

確かにショートカットを無効にしてしまうと、混乱するユーザーもういるでしょう。
ですが現時点ではこれしか回避法はないのですから、気になる方はこの対策を実施するしかないと思います。


という事で、ショートカット表示を無効にしてみました。
ショートカットを無効にするには、レジストリエディタの編集を行います。



スタートメニュー

ファイル名を指定して実行

スタート」→「ファイル名を指定して実行」をクリック。
regedit」と入力後、OKをクリックします。



レジストリ IconHandler

レジストリエディタが起動したら、
HKEY_CLASSES_ROOT¥lnkfile¥shellex¥IconHandler」を検索してクリック。



エクスポートを選択

ここでレジストリを編集する前に、レジストリのバックアップをとっておきます
IconHandler」を右クリックし、「エクスポート」を選択。



レジストリファイルのエクスポート

表示されたダイアログ内のフォームに、バックアップ名を入力し保存。

なお、バックアップ名はわかりやすいものであれば何でも良いですが、
マイクロソフトでは「LNK_Icon_Backup.reg」と記載されているので、ここでもそうしておきます。



レジストリを編集

そしてレジストリを編集します。
レジストリエディターの「IconHandler」が選択されている事を確認し、
右ウィンドウの一番左の値「既定」を選択しEnter。

そうすると編集ダイアログが表示されるので、値のデータ部分を空白にしてEnterキーを押します。



ショートカット表示が無効に

その後、Explorer.exeを再起動、
もしくはコンピューターを再起動すればショートカットの表示が無効になります


なお、元に戻したい場合は・・・

レジストリファイルのインポート

レジストリエディタの「ファイル」→「インポート」を選択します。



レジストリファイルを選択

ダイアログが表示されたら、先ほど保存した「LNK_Icon_Backup.reg」を開きます。



レジストリ情報の復元

するとレジストリ情報が読み込まれ、編集前の状態に戻す事ができます。


なお、作業自体は非常に単純ですが、レジストリの編集は一歩誤ると、
システムの再インストールが必要になったりする事もあります。

ですので、自己の責任でくれぐれも注意して行ってください。


今回の脆弱性と対策は、以下のページに詳細が掲載されています。

→ Windows シェルの脆弱性により、リモートでコードが実行される(2286198)